安全预警 - 涉及华为多种产品的输入校验漏洞
- 预警编号:huawei-sa-20160713-01-multicast-ldp-fec-stack
- 初始发布时间: 2016年07月13日
- 更新发布时间: 2016年07月13日
华为多款产品存在输入校验漏洞,连接到控制面的攻击者可以构造畸形报文来利用此漏洞,导致DoS攻击及远程代码执行。(漏洞编号:HWPSIRT-2016-04001)
此漏洞的CVE编号为:CVE-2016-6178。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20160713-01-multicast-ldp-fec-stack-cn|
产品名称 |
版本号 |
修复版本号 |
|
NE40E |
V600R008C20 |
Upgrade to V800R007SPH017 |
|
V800R006C00 |
||
|
V800R006C20 |
||
|
V800R006C30 |
||
|
V800R007C00 |
V800R007SPH017 |
|
|
CX600 |
V600R008C20 |
Upgrade to V800R007SPH017 |
|
V800R006C00 |
||
|
V800R006C20 |
||
|
V800R007C00 |
V800R007SPH017 |
|
|
PTN 6900-2-M8 |
V800R007C00 |
V800R007SPH019 |
|
NE5000E |
V800R006C00 |
V800R006SPH018 |
|
CloudEngine 12800 |
V100R003C00 |
V100R003SPH010 |
|
V100R003C10 |
||
|
V100R005C00 |
V100R005SPH006 |
|
|
V100R005C10 |
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)
临时得分:5.6 (E:F/RL:O/RC:C)
攻击者能够连接到设备;
2. 攻击步骤:
连接到控制面的攻击者可以构造畸形报文来利用此漏洞,导致DoS攻击及远程代码执行。
针对受影响产品没有有效的规避方案,但是客户可以部署华为NGFW(下一代防火墙)或者数据中心防火墙产品,并升级IPS特征库至<2016年5月4日>发布的最新版本(IPS_H20011000_2016050400) 以检测和防护来自于网络层面的输入校验漏洞攻击。
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities。
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
