本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策
AR路由器设备在作为SFTP服务端时候存在路径遍历漏洞,攻击者登录设备后,可以遍历FTP服务器目录,能够越权访问一些目录的内容,存在信息泄露风险。(Vulnerability ID: HWPSIRT-2015-09029)
此漏洞的CVE编号为:CVE-2015-8228
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-461680.htm
产品名称 |
版本号 |
修复版本号 |
AR1200 |
V200R006C10 |
V200R006SPH003 |
AR2200 |
||
AR3200 |
||
AR3600 |
||
AR500 |
||
AR120 |
||
AR150 |
||
AR160 |
||
AR200 |
攻击者利用此漏洞,能够越权访问一些目录的内容,存在信息泄露风险。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:4.0 (AV:N/AC:L/Au:S/C :P/I:N/A:N)
临时得分:3.3 (E:F/RL:O/RC:C)
攻击者能够连接到设备并登陆成功。
2. 攻击步骤:
AR路由器设备在作为SFTP服务端时候没有对用户可以访问的目录权限做严格校验,攻击者登录成功后,能够越权访问一些目录的内容,存在信息泄露风险, 但是不能做修改和删除操作。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为内部测试人员上报。华为PSIRT目前并未了解到有其他公共渠道对本文中提到的漏洞进行发布,以及漏洞被恶意利用的情况。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-11-19 V1.1 UPDATED add CVE ID
2015-11-11 V1.0 INITIAL
无