安全预警 - 涉及UMA产品的多个漏洞
- 预警编号:huawei-sa-20170612-01-uma
- 初始发布时间: 2017-06-12
- 更新发布时间: 2017-06-12
UMA(Unified Maintenance Audit)统一运维审计提供统一的运维操作入口,控制并记录用户进行的运维操作,支持以命令查看、视频回放等方式进行审计。
UMA产品存在多个漏洞,这些漏洞是由供应商提供的软件所引入。
UMA产品存在三处信息泄露漏洞,攻击者可以利用这些漏洞获取部分敏感信息,导致信息泄露。 (漏洞编号:HWPSIRT-2017-05050, HWPSIRT-2017-05065, HWPSIRT-2017-05115)
这些漏洞的CVE编号分别为:CVE-2017-8118, CVE-2017-8130, CVE-2017-8121。
UMA产品存在九处权限提升漏洞,由于参数校验不充分或未正确处理,攻击者可通过构造特定的报文利用这些漏洞实现提权。 (漏洞编号:HWPSIRT-2017-05061, HWPSIRT-2017-05063, HWPSIRT-2017-05064, HWPSIRT-2017-05066, HWPSIRT-2017-05113, HWPSIRT-2017-05114, HWPSIRT-2017-05116, HWPSIRT-2017-05117, HWPSIRT-2017-05118)
这些漏洞的CVE编号分别为:CVE-2017-8126, CVE-2017-8128, CVE-2017-8129, CVE-2017-8117, CVE-2017-8119, CVE-2017-8120, CVE-2017-8122, CVE-2017-8123, CVE-2017-8124。
UMA产品存在两处跨站脚本(XSS)漏洞,由于输入校验不充分,攻击者可以通过构造特定的恶意链接或脚本进行XSS攻击。 (漏洞编号:HWPSIRT-2017-05060, HWPSIRT-2017-05062)
这些漏洞的CVE编号分别为:CVE-2017-8125, CVE-2017-8127。
华为已将漏洞信息反馈给供应商,供应商已完成漏洞的分析和修复。
安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20170612-01-uma-cn
HWPSIRT-2017-05115, HWPSIRT-2017-05116, HWPSIRT-2017-05117, HWPSIRT-2017-05118, HWPSIRT-2017-05061, HWPSIRT-2017-05062:
|
产品名称 |
受影响的版本 |
修复版本 |
|
UMA |
V200R001 |
V200R001C00CP0002 |
HWPSIRT-2017-05066,HWPSIRT-2017-05050,HWPSIRT-2017-05113,HWPSIRT-2017-05114,HWPSIRT-2017-05060,HWPSIRT-2017-05063,HWPSIRT-2017-05064,HWPSIRT-2017-05065:
|
产品名称 |
受影响的版本 |
修复版本 |
|
UMA |
V200R001 |
V200R001C00CP0002 |
|
V300R001 |
V300R001C00SPC002 |
HWPSIRT-2017-05050, HWPSIRT-2017-05065, HWPSIRT-2017-05115
攻击者成功利用这些漏洞可以获取部分敏感信息,导致信息泄露。
HWPSIRT-2017-05061, HWPSIRT-2017-05063, HWPSIRT-2017-05064, HWPSIRT-2017-05066, HWPSIRT-2017-05113, HWPSIRT-2017-05114, HWPSIRT-2017-05116, HWPSIRT-2017-05117, HWPSIRT-2017-05118
攻击者成功利用这些漏洞可以实现提权。
HWPSIRT-2017-05060, HWPSIRT-2017-05062
攻击者成功利用这些漏洞可以进行XSS攻击。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
HWPSIRT-2017-05050:
基础得分:2.3 (AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)
临时得分:2.2 (E:F/RL:O/RC:C)
HWPSIRT-2017-05065:
基础得分:6.5 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)
临时得分:6.0 (E:F/RL:O/RC:C)
HWPSIRT-2017-05115:
基础得分:5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
临时得分:4.9 (E:F/RL:O/RC:C)
HWPSIRT-2017-05061:
基础得分:9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
临时得分:9.1 (E:F/RL:O/RC:C)
HWPSIRT-2017-05063:
基础得分:6.5 (AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)
临时得分:6.0 (E:F/RL:O/RC:C)
HWPSIRT-2017-05064:
基础得分:7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
临时得分:6.7 (E:F/RL:O/RC:C)
HWPSIRT-2017-05066:
基础得分:9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
临时得分:9.1 (E:F/RL:O/RC:C)
HWPSIRT-2017-05113:
基础得分:8.2 (AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
临时得分:7.6 (E:F/RL:O/RC:C)
HWPSIRT-2017-05114:
基础得分:8.2 (AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
临时得分:7.6 (E:F/RL:O/RC:C)
HWPSIRT-2017-05116:
基础得分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
临时得分:8.2 (E:F/RL:O/RC:C)
HWPSIRT-2017-05117:
基础得分:8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
临时得分:8.2 (E:F/RL:O/RC:C)
HWPSIRT-2017-05118:
基础得分:7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
临时得分:6.7 (E:F/RL:O/RC:C)
HWPSIRT-2017-05060: 基础得分:4.7 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N) 临时得分:4.4 (E:F/RL:O/RC:C) HWPSIRT-2017-05062: 基础得分:7.4 (AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N) 临时得分:6.9 (E:F/RL:O/RC:C)HWPSIRT-2017-05050, HWPSIRT-2017-05065, HWPSIRT-2017-05115:
利用漏洞发起攻击的预置条件:
攻击者可以接入设备所在网络。
漏洞详细描述:
攻击者可以利用这些漏洞获取部分敏感信息,导致信息泄露。
HWPSIRT-2017-05061, HWPSIRT-2017-05063, HWPSIRT-2017-05064, HWPSIRT-2017-05066, HWPSIRT-2017-05113, HWPSIRT-2017-05114, HWPSIRT-2017-05116, HWPSIRT-2017-05117, HWPSIRT-2017-05118:
利用漏洞发起攻击的预置条件:
攻击者可以接入设备所在网络。
漏洞详细描述:
UMA产品存在多处由于参数校验不充分或未正确处理的权限提升漏洞,攻击者通过构造特定的报文利用这些漏洞实现提权。
HWPSIRT-2017-05060, HWPSIRT-2017-05062:
利用漏洞发起攻击的预置条件: 攻击者可以接入设备所在网络。 漏洞详细描述: UMA产品存在多处由于输入校验不充分的跨站脚本(XSS)漏洞,攻击者可以通过构造特定的恶意链接或脚本进行XSS攻击。无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities。
漏洞由华为内部测试发现。
2017-06-12 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
