安全预警-涉及华为P2手机产品的多个安全漏洞
- 预警编号:Huawei-SA-20141202-P2
- 初始发布时间: 2014-12-02
- 更新发布时间: 2015-03-11
本安全预警(SA)描述的是两个漏洞。
这两个漏洞的描述如下:
解码器的驱动允许任何应用读取或写入任意内存地址。(漏洞编号:HWPSIRT-2014-0401)
此漏洞的CVE编号为:CVE-2014-2273。
华为P2设备上安装了的金山办公应用。攻击者如果可以修改这些应用的谷歌云打印服务发出的数据,就可以远程执行代码。(漏洞编号:HWPSIRT-2014-0402)
此漏洞的CVE编号为:CVE-2014-2271。
产品名称
受影响的版本
修复版本
P2-6011
Eariler than V100R001C00B043 versions
V100R001C00B043
HWPSIRT-2014-0401: 允许设备上任何运行的应用升级到root权限,并对任意内存进行读取或者写入。
HWPSIRT-2014-0402: 拥有金山办公应用权限的攻击者可以远程在目标设备上执行任意代码。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
HWPSIRT-2014-0401:
基础得分:9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C)
临时得分:7.7 (E:F/RL:O/RC:C)
HWPSIRT-2014-0402:
基础得分:6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)
临时得分:5.6 (E:F/RL:O/RC:C)
更详细的技术细节请参考网站链接:
HWPSIRT-2014-0401:
HWPSIRT-2014-0402:
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由外部MWR InfoSecurity实验室网站公布,链接同技术细节部分的链接。华为应急响应团队并没有知悉该漏洞的任何恶意利用。华为公司对于MWR InfoSecurity实验室关注华为产品的安全表示感谢。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-03-11 V1.1 UPDATED Update the link information
2014-12-02 V1.0 INITIAL
无
