安全预警 – 涉及部分华为产品的信息泄露漏洞
- 预警编号:huawei-sa-20170920-01-encryption
- 初始发布时间: 2017年09月20日
- 更新发布时间: 2017年09月20日
华为部分产品存在信息泄露的安全漏洞。由于加密密钥是存储在受影响产品软件中,攻击者可以通过逆向工程获得加密密钥,导致信息泄露。(漏洞编号: HWPSIRT-2017-07133)
此漏洞的CVE编号为:CVE-2017-2704。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20170920-01-encryption-cn
|
产品名称 |
版本号 |
修复版本号 |
|
智能家居 |
1.0.2.364之前版本 |
1.0.2.364 |
|
华为应用市场 |
7.3.0.303之前版本 |
7.3.0.303 |
|
学生模式 |
2.0.0之前版本 |
2.0.0 |
|
家长助手 |
5.1.0.12之前版本 |
5.1.0.12 |
|
华为众测 |
1.5.3之前版本 |
1.5.3 |
|
钱包 |
8.0.0.301之前版本 |
8.0.0.301 |
|
支付 |
8.0.0.300之前版本 |
8.0.0.300 |
|
天际通 |
8.1.2.300之前版本 |
8.1.2.300 |
|
华为云服务(文件管理器)(EMUI6.0) |
8.0.0.307之前版本 |
8.0.0.307 |
|
查找我的手机(EMUI6.0) |
9.3.0.310之前版本 |
9.3.0.310 |
|
查找我的手机(EMUI5.1) |
9.2.2.303之前版本 |
9.2.2.303 |
|
华为视频 |
8.0.0.309之前版本 |
8.0.0.306 |
|
华为手环手机客户端 |
21.0.0.360之前版本 |
21.0.0.360 |
|
健康业务客户端 |
3.0.3.300之前版本 |
3.0.3.300 |
攻击者可以通过逆向工程获得加密密钥,导致信息泄露。
漏洞使用CVSSv3计分系统进行分级(https://www.first.org/cvss/specification-document)
基础得分:5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
临时得分:4.9 (E:F/RL:O/RC:C)
1. 前提条件:
攻击者可以获取受影响产品软件;
2. 攻击步骤:
由于加密密钥是存储在受影响产品软件中,攻击者可以通过逆向工程获得加密密钥,导致信息泄露。
无
受影响的应用可以在手机应用市场下载版本更新,完成对漏洞的修复。
该漏洞由华为内部测试发现。
2017-09-20 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
