选择您的产品,查看固件、驱动程序、软件、知识库文章和手册。
Digi International 提供从设备到云的安全可靠连接,通过主动保护、持续监控和透明响应,保护客户、合作伙伴和数据的安全。
Digi International 发现了一个安全漏洞,该漏洞影响到运行发布日期在 2025 年之前的固件的所有产品版本:
我们致力于确保产品的安全性和完整性以及客户的安全。发现此问题后,我们的工程团队展开了全面调查,并开发了一个修复程序来解决该漏洞。
为改进 Digi ConnectPort LTS 网络接口处理请求的方式,我们发布了一套安全修复程序,可通过以下链接下载:"https://hub.digi.com/support/products/infrastructure-management/digi-connectport-lts-8-16-32-terminal-server/?path=/support/asset/connectport-lts-eos-firmware"。
无法更新固件的客户应禁用 ConnectPort LTS 设备网页,直到他们能够安排更新。
通过命令行禁用和重新启用网络服务的命令如下:
#> 设置服务 ra=10,11 state=off
以重新启用网络服务:
#> 设置服务 ra=10,11 state=on
已为 WR11、WR21、WR31、WR44R、WR44RR 版本 8.6.0.4 发布安全修复程序,以修补 SSH 实体初始化未初始化变量的问题,从而防止在建立第一个 SSH 会话后开始完成未经验证的 SSH 会话。请从我们的支持网站或通过以下方式下载最新固件 Digi Remote Manager
尊敬的客户,我们想通知您最近发现的一个常见漏洞和暴露(CVE)影响了我们的一些设备。有关详细信息和建议采取的措施,请访问以下链接。感谢您对此事的关注,并感谢您一直以来对我们服务的信任。
所附文件包括 Dragos 提交的报告中的漏洞发现。这些是 Dragos 向我们 Digi International 报告的 CVE。其中包括一份 Dragos 报告为存在漏洞的 Digi International 产品表。
Digi International 最近发现 CVE-2020-11901 仍在影响我们的 NDS 和 NET+OS 产品线,这些产品线是 Ripple20 漏洞的一部分。Digi 发现修补该漏洞是适当的。请参阅我们的知识文章,了解与此漏洞相关的补丁发布情况。
我们的开发团队已经为该漏洞开发了一个补丁,我们强烈建议您尽快应用该更新,以确保您设备的安全。
我们非常重视产品的安全性,并对由此造成的不便深表歉意。如果您有任何问题或疑虑,请随时联系我们的支持团队。
以下是我们详细介绍 WiFi Frag 攻击的知识型文章链接 碎片攻击安全信息
Digi International 正在调查新的关键 OpenSSL 漏洞CVE-2022-3786和CVE-2022-3602。
目前,EX50 和 TX64 设备存在 CVE-2022-3786 和 CVE-2022-3602 漏洞。所有其他 Digi Accelerated Linux (DAL) 产品不受影响。EX50 和 TX64 固件将在下一次发布补丁时进行更新,以缓解这些漏洞。
Digi Embedded Yocto 4.0-r1 版本目前受 CVE-2022-3786 和 CVE-2022-3602 漏洞影响,将在下一次发布补丁时更新以缓解这些漏洞。所有其他版本的 DEY 均不受影响。
其他 OpenSSL 库也正在接受检查。被发现未及时更新的库也将收到补丁。
任何进一步的问题......,我们将予以解决,以进一步缓解这些关切
Digi International 建议使用 1-1-2020 年前生产的 Connect Port X 设备,将根用户的默认密码更改为设备上的自定义值。
您可以填写 Bugcrowd 的表格,在右上角提交漏洞。我们鼓励研究人员或客户提供电子邮件,以便更好地与您直接沟通。请重新提交过去 90 天内发送到security@digi.com而我们没有回复您的任何漏洞。我们感谢您为 Digi International Inc.
访问 Digi 支持网站并查找您的产品
经过进一步的尽职调查,Digi 品牌产品不存在 CVE-2022-22963 或 CVE-2022-22965 (Spring4Shell) 漏洞。
改进网络界面请求处理方式的安全修复程序已经发布,可通过以下链接下载: https://hub.digi.com/support/products/infrastructure-management/digi-passport/?path=/support/asset/-digi-passport-1.5.2-firmware/
Digi 目前正在调查整个产品线受到的影响。最新情况将在此处发布。
请注意,这些产品不会受到 CVE-2021-45105 中引用的最新 log4j 漏洞的影响,下面的最新安装程序已将 log4j 升级到 2.16。我们在下文各产品旁边提供了修补所述 CVE 的直接链接。
智能 IOmux:智能 IOmux
Digi XCTU:XCTU
Digi XBee 多功能编程器XBee 多功能编程器
Digi XBee 网络助理:Digi XBee 网络助理
我们认为,这些漏洞不会直接利用我们的产品,因为它们是由个人用户运行的桌面应用程序,不能通过互联网访问或通过网络服务使用。上述四款产品是我们目前所知的所有受影响产品。如果我们发现任何进一步的问题,我们将更新本页面。有关未受影响产品的更多信息,请查看下面日期为 2021 年 12 月 14 日的文章。
如果您没有找到产品,请注意我们正在继续进行内部测试,一旦有了结果,我们将立即更新下面的列表。
不受 Apache Log4j CVE-2021 影响的设备:
软件/管理平台:
Digi 目前正在调查整个产品线受到的影响。我们目前尚未发现任何影响。我们将继续努力工作,一旦在整个组织内得出结论,我们将立即更新。
目前,Digi 仍在审查这些攻击及其对我们设备的影响。从攻击的性质来看,我们预计 Digi 设备将受到影响。
不过,必须指出的是,即使存在这些攻击,DIgi 的一贯政策和建议是,网络通信绝不应依赖数据层(WiFi/蓝牙)的保护和标准。其中许多都是在硬件中实现的,很难改变。如果使用了良好的网络实践(TLS/证书等),这些漏洞就不会造成任何实际影响。只有在存在其他缺陷或问题的情况下,这些漏洞才会产生影响。
Digi 打算解决这些问题,以保持我们在产品安全方面的纵深防御战略。由于这些问题的复杂性,我们相信我们能够在 2021 年第四季度或更早的时间内解决这些问题。
Digi International从未生产过任何可能受AMNESIA:33漏洞影响的产品。我们的客户无需采取任何行动。
本文件将提供文件加密哈希值,以验证收到的软件是否为 Digi 正式提供的软件。在为企业推出关键软件或固件之前,CIP-010-3 R1 第 1.6 部分和其他良好的安全实践都要求采用这些人类验证方法。 下载
已发现一些影响 TCP/IP 内部堆栈处理的高级漏洞 (CVE)。Digi 自二月份以来一直在与客户合作安装固件更新,以解决这一问题。在特定情况下,这些漏洞有可能导致在未进行身份验证的情况下通过网络攻击远程执行代码。 CVSSv3.1 得分为 8.1:CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 有几款 Digi 产品已被确认受到影响,我们强烈建议您立即更新固件。 这些产品包括
更多信息,请阅读Digi 知识库文章。
在 Digi WR11、WR21、WR31、WR41 和 WR44 蜂窝路由器上发现一个高级漏洞(CVSS => 7.0)。该攻击允许使用 IP-in-IP 封装通过受攻击设备路由任意网络流量。
请下载固件 V8.1.0.1(或更高版本)以修复此问题。另外,在设备的广域网接口(或蜂窝接口)端口上启用防火墙功能也可以减轻这种攻击。
有关此漏洞的更多信息,请参阅 Digi 支持部分的知识库文章
Digi XBee 3 Zigbee 和Digi XBee 3 802.15.4 固件上发现一个漏洞,除非启用 BLE,否则用于安全会话 SRP 身份验证的短暂值不会随机化。该功能通常用于确保网络安全,防止未经授权的远程配置。
欲了解更多信息,请访问: https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization
在早一代 XBee ZigBee 模块(S2B、S2C 和 S2D)上发现了一个漏洞,在该漏洞中,先前与网络相关联的路由器可以使用无效的预配置链接密钥重新进入安全网络。此后,该节点可能会无意中将网络密钥 "明文 "传递给试图通过它加入网络的设备。
欲了解更多信息,请访问: https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear
漏洞研究人员 Murat Aydemir 和 Fatih Kayran 在 Digi ConnectPort LTS 固件的 ConnectPort LTS Web 界面中发现了上述漏洞。这些问题的建议修复方法包括将固件更新到产品的最新版本。有关 US-CERT 指南的全文,请参阅: https://www.us-cert.gov/ics/advisories/icsa-20-042-13
有关固件更新,请访问: https://www.digi.com/support/supporttype?type=firmware
有关受 SACK 漏洞影响的 Digi 设备的更详细列表,请参阅以下知识库文章:https://www.digi.com/support/knowledge-base/sack_vulnerability
Digi Intl. 意识到最近出现了四个称为 "SACK "的漏洞。目前,我们正在对已知受影响产品的影响进行审查,并协调修复工作。有关修复时间表的更多信息将于下周公布。必须指出的是,这些漏洞不会影响任何 Digi 设备的保密性和完整性。所有这些漏洞都被归类为 "拒绝服务 "问题。这意味着有可能将设备踢出网络或重新启动设备。
Stig Palmquist 在上述路由器中发现了一个漏洞。该漏洞允许拥有完全管理员命令行访问权限的个人在设备上获得 root shell。该漏洞不可被远程利用。我们建议客户升级到等于或大于 4.5.1 的版本。我们还注意到,即使存在这个漏洞,路由器的许多关键部分也是只读的,安装的代码受到安全启动过程的保护。有关此问题的更多详细信息将发布在 Digi 的知识库中。
Digi 意识到 libssh 库中存在一个关键漏洞。我们进行了影响分析,以确定是否有 Digi 产品受到影响。我们认为目前没有 Digi 产品受到该漏洞的影响,因为我们的产品中没有使用该库的功能。我们将继续监控这一情况,如果情况有变,我们将发布更多信息。
Digi 意识到最近发布的 Spectre 和 Meltdown 漏洞。这些漏洞会影响在英特尔、AMD 和 ARM 处理器上运行的数据的保密性。
对于 Digi 硬件产品,我们不使用英特尔或 AMD 处理器,因此 "熔断 "漏洞不会影响 Digi 硬件产品。
对于 Spectre 漏洞,Digi 安全团队正在努力确定其对使用 ARM 处理器的 Digi 硬件产品的实际影响和修补程序。
对于Digi Remote Manager 和设备云,我们正与供应商合作解决 Spectre 和 Meltdown 问题。
一旦获得更多信息,我们将立即提供。有关这些漏洞的更多信息,请访问网站https://meltdownattack.com/。
请继续关注本空间的更新,或订阅上面的 RSS 源。
卡巴斯基实验室在 WR 系列传输路由器中发现了三个漏洞。这些漏洞的评级从高到低。受影响的设备是 Digi TransPort WR11、WR21、WR41、WR44 和 WR31。这也包括 "R "和 "RR "版本。受影响的易受攻击服务包括 SNMP、FTP 和命令行界面。有关已发现漏洞的更多信息,包括修补程序、缓解措施和总体风险,请参阅知识库文章。
Digi 意识到 BlueBorne 漏洞与蓝牙连接的渗透有关,可能导致未经授权访问设备和/或数据。BlueBorne 会影响普通计算机、移动电话、嵌入式设备和其他具有蓝牙连接功能的联网设备。有关该漏洞的详细信息,请参阅https://www.armis.com/blueborne/。对于嵌入式产品,我们强烈建议客户查看有关 Blueborne 漏洞的可用公开信息,并采用缓解方法,包括社区中已有的修复方法。我们还打算尽快提供相关漏洞的修复/解决方法。在此期间,如果您对该漏洞如何影响您正在使用的 Digi 产品/平台有任何疑问,请联系我们。
我们已经评估了该漏洞对我们设备的影响,结论是 Transport LR54 是唯一受到影响的 Digi 设备。我们已在 3.1.0.4 及以上版本的固件中提供了针对该漏洞的补丁。有关 LR54 产品的固件版本,请参阅Digi 支持网站。
Digi 意识到定义的 Wi-Fi 安全协议 WPA2 中存在一个漏洞。我们已经为受影响的产品发布了新固件,有关受影响产品和解决方法的完整技术声明,请参阅我们的知识库文章。
目前,我们已经对此进行了审查,没有发现我们的任何设备会受到该僵尸网络的威胁。我们将继续对此进行监控,以防将来发生变化。
关于 CVE-2014-9222、CVE-2014-9223 的扩展信息 许多 Digi 产品包含并使用 Allegrosoft 的 RomPager 网络服务器技术。我们注意到,这个用于管理我们设备的嵌入式 Web 服务器包含一个我们定义为关键的漏洞。我们敦促任何可能拥有这些产品的客户,在非安全网络上使用管理网络服务器时,要么将固件升级到已打补丁的版本,要么禁用网络服务器来管理这些设备。
尽管我们在过去几年中一直在迁移产品对 SHA1 的使用,但我们正在重新评估产品对 SHA1 哈希值的剩余使用。我们预计,未来的版本将取消 SHA1 哈希值的使用,并分别转而使用更强的 SHA3 或 SHA2 例程。
我们相信这不会对 Digi 造成任何影响,因为我们的产品使用的是 OpenSSL 长期支持 (LTS) 版本的 Openssl v1.0.2,而不是 v1.1.0。
我们正在针对该漏洞全面测试我们的产品。目前,我们发现一些设备受到轻微影响。不过,由于产品类型的原因,我们无法有效利用存在此漏洞的设备。
用于披露 Digi 产品的安全漏洞:
报告漏洞
安全政策
法律政策
SmartSense SOC 2
产品认证
质量与环境认证
政府机构认证
PCI 合规程序