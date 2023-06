ASUS publie une mise à jour du micrologiciel pour divers routeurs afin de remédier à des vulnérabilités critiques.



ASUS a publié des mises à jour de micrologiciels pour plusieurs modèles de routeurs corrigeant deux problèmes de sécurité critiques et plusieurs autres. Les deux vulnérabilités critiques trouvées sont CVE-2022-26376 et CVE-2018-1160. Les modèles de routeurs ASUS et de marque ROG concernés incluent les modèles GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000, et TUF-AX5400. Le nouveau micrologiciel peut être téléchargé sur la page d'assistance ASUS et sur la page produit correspondante de chaque modèle de routeur.







Déclaration d'ASUS



Nouveau firmware avec des mises à jour de sécurité pour GT6/GT-AXE16000/GT-AX11000 PRO/GT-AXE11000/GT-AX6000/GT-AX11000/GS-AX5400/GS-AX3000/XT9/XT8/XT8 V2/RT-AX86U PRO/RT-AX86U/RT-AX86S/RT-AX82U/RT-AX58U/RT-AX3000/TUF-AX6000/TUF-AX5400



Nous vous encourageons vivement à vérifier périodiquement votre équipement et vos procédures de sécurité, car cela vous permettra d'être mieux protégé. En tant qu'utilisateur d'un routeur ASUS, nous vous conseillons de prendre les mesures suivantes :



1 - Mettez à jour votre routeur avec le dernier firmware. Nous vous recommandons vivement de le faire dès qu'un nouveau firmware est disponible. Vous trouverez le dernier micrologiciel disponible au téléchargement sur la page d'assistance ASUS à l'adresse https://www.asus.com/support/ ou sur la page du produit approprié à l'adresse https://www.asus.com/Networking/. ASUS a fourni un lien vers les nouveaux micrologiciels pour certains routeurs à la fin de cet avis.



2 - Définissez des mots de passe distincts pour votre réseau sans fil et la page d'administration du routeur. Utilisez des mots de passe d'au moins huit caractères, comprenant des lettres majuscules, des chiffres et des symboles. N'utilisez pas le même mot de passe pour plusieurs appareils ou services.



3 - Activez ASUS AiProtection, si votre routeur prend en charge cette fonction. Vous trouverez des instructions à ce sujet dans le manuel de votre routeur ou sur la page d'assistance ASUS correspondante, à l'adresse https://www.asus.com/Networking/.



Veuillez noter que si vous choisissez de ne pas installer cette nouvelle version du micrologiciel, nous vous recommandons vivement de désactiver les services accessibles depuis le côté WAN afin d'éviter d'éventuelles intrusions indésirables. Ces services comprennent l'accès à distance depuis le WAN, la redirection de port, le DDNS, le serveur VPN, la DMZ, le déclenchement de port.



Pour obtenir de l'aide supplémentaire sur la configuration du routeur et une introduction à la sécurité des réseaux, veuillez consulter le site suivant :



- https://www.asus.com/support/FAQ/1008000

- https://www.asus.com/support/FAQ/1039292



Le nouveau micrologiciel intègre les correctifs de sécurité suivants :



1. Correction de CVE-2023-28702, CVE-2023-28703, CVE-2023-31195, CVE-2022-46871, CVE-2022-38105, CVE-2022-35401, CVE-2018-1160, CVE-2022-38393, CVE-2022-26376.

2. Correction des vulnérabilités DoS dans les pages de configuration du pare-feu.

3. Correction de vulnérabilités DoS dans httpd.

4. Correction d'une vulnérabilité de divulgation d'informations.

5. Correction de vulnérabilités de déréférencement de pointeur nul.

6. Correction de la vulnérabilité du serveur cfg.

7. Correction de la vulnérabilité dans la fonction de message de journal.

8. Correction d'un XSS stocké dans le DOM du client

9. Correction de la vulnérabilité du fractionnement de la réponse HTTP

10. Correction de la vulnérabilité HTML de la page d'état.

11. Correction de la vulnérabilité du fractionnement de la réponse HTTP.

12. Correction de vulnérabilités liées à Samba.

13. Correction de la vulnérabilité Open redirect.

14. Correction des problèmes de sécurité liés à l'authentification par jeton.

15. Correction des problèmes de sécurité sur la page d'état.

16. Activation et prise en charge des certificats ECDSA pour Let's Encrypt.

17. Amélioration de la protection des informations d'identification.

18. Protection renforcée pour les mises à jour OTA du micrologiciel.



