安全预警 – FusionStorage产品存在提权安全漏洞
- 预警编号:huawei-sa-20161123-01-fusionstorage
- 初始发布时间: 2016-11-23
- 更新发布时间: 2016-11-23
FusionStorage是为了满足云计算数据中心存储基础设施需求而设计的一种分布式块存储软件。
华为FusionStorage产品存在提权的安全漏洞。当攻击者以普通操作系统用户权限登陆设备成功后,对于特定配置规则创建相应的文件,可以获取操作系统的root权限。(漏洞编号:HWPSIRT-2016-11025)
此漏洞的CVE编号为:CVE-2016-8803。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20161123-01-fusionstorage-cn
|
产品名称 |
版本号 |
修复版本号 |
|
FusionStorage |
V100R003C30U1 |
FusionStorage Block[1] V100R003C30U2 |
[1] FusionStorage has been renamed FusionStorage Block from V100R003C30U2.
利用这个漏洞,攻击者可以获取操作系统的root权限,造成敏感信息泄露和管理服务中断。
基础得分:5.0 (AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:L)
临时得分:4.7(E:F/RL:O/RC:C)
1. 前提条件:
攻击者以普通操作系统用户权限登陆设备成功。
2. 攻击步骤:
华为FusionStorage产品存在提权的安全漏洞。当攻击者以普通操作系统用户权限登陆设备成功后,对于特定配置规则创建相应的文件,可以获取操作系统的root权限。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/psirt/report-vulnerabilities/index.htm
该漏洞由华为内部测试发现。
2016-11-23 V1.0 INITIAL
无
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt
反馈华为产品和解决方案安全问题,请反馈至到华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities
