本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策
华为FusionCompute产品存在一个信息泄露漏洞。普通用户存在可以查看超过当前用户权限的信息。攻击者可以利用这个漏洞查看其它用户信息,导致信息泄露。(Vulnerability ID: HWPSIRT-2015-10048)
此漏洞的CVE编号为:CVE-2015-8336。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-462905.htm
产品名称 |
版本号 |
修复版本号 |
FusionCompute |
V100R003C10 |
Upgrade to V100R005C10SPC700 |
V100R003C00 |
攻击者可以利用这个漏洞查看其它用户信息,导致信息泄露。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:4.0 (AV:N/AC:L/Au:S/C:P/I:N/A:N)
临时得分:3.3 (E:F/RL:O/RC:C)
攻击者可以接入FusionCompute网络;
2. 攻击步骤:
攻击者使用普通用户的用户名和密码登陆FusionCompute管理页面后,可以在系统管理页面查看只有管理员用户才有权限查看的其他用户的角色和权限信息,导致用户信息泄露。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为内部测试发现。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-11-25 V1.0 INITIAL
无