安全预警-华为USG产品中存在内存泄露漏洞
- 预警编号:Huawei-SA-20141223-01-USG
- 初始发布时间: 2014-12-24
- 更新发布时间: 2015-03-20
华为多款防火墙(USG9560/9520/9580)存在内存泄露漏洞。攻击者通过访问Web访问设备上特定的网页,引起主控板上内存泄露。在内存泄露达到一定程度后,导致主控板重启并触发双主控倒换(漏洞编号: HWPSIRT-2014-1223)。
此漏洞的CVE编号为:CVE-2014-9697。
|
产品名称 |
版本号 |
修复产品版本号 |
|
USG9560/9520/9580 |
V300R001C00 |
升级到V300R001C01SPC300 |
|
V300R001C01SPC100 |
V300R001C01SPC300 |
攻击者利用此漏洞,引起设备内存泄露,最终导致主控板重启并触发双主控倒换。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:5.0 (AV:N/AC:L/Au:N/C:N/I:N/A:P)
临时得分:3.6 (E:F/RL:O/RC:C)
1. 前提条件:
攻击者能够连接到设备;
2. 攻击步骤:
攻击者通过Web访问设备上特定网页,设备Web模块在处理GET请求时,代码处理逻辑存在问题,导致设备内存泄露,最终引起主控板重启并触发双主控倒换。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-03-20 V1.1 UPDATED 漏洞概述
2014-12-24 V1.0 INITIAL
无
