在发现严峻的长途代码履行 (RCE) 缝隙后,D-Link 强烈主张其旧款 VPN 路由器用户替换设备。 由于这些类型的路由器已到达其惯例运用的寿数和中止支撑的日期,因而不会再对其打补丁以防备该缝隙。
安全研究人员delsploit向D-Link报告了该缝隙,但没有分配CVE标识符。 该缝隙的技术细节也未发表,因而客户有时间在网络犯罪分子开端测验运用该缝隙之前做出必定的反响。 咱们我们都知道这是一个仓库缓冲区溢出缝隙,答应未经认证的用户履行长途代码履行。
D-Link 着重,它将不会为四个受影响的类型发布补丁,由于它们都已到达 EOL 或 EOS 状况,也便是产品处于完毕支撑的期限之后,其间大多数是在 2024 年 5 月,还有几个是在 2015 年。 该公司写道,公司的一般方针是,当产品到达 EOS/EOL 时,将不再对其供给支撑,而且中止对这一些产品的一切固件开发。
D-Link 强烈主张这些路由器的一切者升级到较新的类型,由于接着运用或许会对与其衔接的设备形成风险。
该公司正试图安慰那些或许对此感到动火的用户,为不受缝隙影响的新服务路由器(DSR-250v2)供给 20% 的扣头。
D-Link 还指出,尽管第三方敞开固件可用于许多受影响的设备,但运用这一些固件会导致保修失效,设备一切者应自行承当职责。
这是 D-Link 在一个月内第2次承认不会为已到达作废/服务中止状况的高危设备打补丁。 这家台湾公司主张其已停产的 NAS 设备的一切者升级到较新的类型,由于这些设备不会打补丁以避免要害指令注入缝隙。
2022 年,网络安全& 基础设施安全局(CISA)主张顾客替换存在 RCE 缝隙的 D-Link 路由器,由于这些设备已到达惯例运用的寿数,将不再收到补丁。
