安全预警 - 涉及FusionSphere OpenStack的多个漏洞

HWPSIRT-2017-07053:

成功利用这个漏洞可以导致越权。
HWPSIRT-2017-07055:

攻击者可以利用此漏洞导致代码执行。

HWPSIRT-2017-07056:

攻击者可以利用这个漏洞覆盖文件，导致服务异常。

HWPSIRT-2017-07057:

攻击者可以利用这个漏洞植入恶意程序。

HWPSIRT-2017-07058:

攻击者可以利用此漏洞导致信息泄露。

漏洞使用CVSSv3计分系统进行分级（http://www.first.org/cvss/specification-document）

HWPSIRT-2017-07053:

基础得分：3.8 (AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L)

临时得分：3.6 (E:F/RL:O/RC:C)

HWPSIRT-2017-07055:

基础得分：4.7 (AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L)

临时得分：4.4 (E:F/RL:O/RC:C)

HWPSIRT-2017-07056:

基础得分：6.0 (AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)

临时得分：5.6 (E:F/RL:O/RC:C)

HWPSIRT-2017-07057:

基础得分：6.7 (AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

临时得分：6.2 (E:F/RL:O/RC:C)

HWPSIRT-2017-07058:

基础得分：3.7 (AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)

临时得分：3.5 (E:F/RL:O/RC:C)

HWPSIRT-2017-07053:

利用漏洞发起攻击的预置条件：

1. 攻击者可以访问受影响产品。

漏洞详细描述：

由于权限限制不合适，一个拥有较高权限的攻击者可以获取其他用户的凭证。成功利用这个漏洞可以导致越权。

HWPSIRT-2017-07055:

利用漏洞发起攻击的预置条件：

1. 攻击者可以访问受影响产品。

漏洞详细描述：

由于对外部输入缺乏校验，一个拥有较高权限的攻击者可以将恶意代码注入受影响产品的特定模块，导致代码执行。

HWPSIRT-2017-07056:

利用漏洞发起攻击的预置条件：

1. 攻击者可以访问受影响产品。

漏洞详细描述：

由于对路径校验不充分，一个拥有较高权限的攻击者可以利用这个漏洞覆盖文件，导致服务异常。

HWPSIRT-2017-07057:

利用漏洞发起攻击的预置条件：

1. 攻击者可以访问受影响产品。

漏洞详细描述：

由于对签名未做校验，一个拥有较高权限的攻击者可以利用这个漏洞植入恶意程序。

HWPSIRT-2017-07058:

利用漏洞发起攻击的预置条件：

1. 攻击者可以访问受影响产品。

漏洞详细描述：

攻击者可以利用这个漏洞破解加密信息，导致传输链上部分信息泄露。

无

用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。

TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities。

该漏洞由华为内部测试发现。

2018-03-14 V1.3 UPDATED 刷新受影响产品版本和修复信息;刷新漏洞评分;

2017-11-16 V1.2 UPDATE 更新漏洞信息

2017-11-10 V1.1 UPDATE 更新受影响产品列表

2017-10-18 V1.0 INITIAL

无

华为一贯主张尽全力保障产品用户的最终利益，遵循负责任的安全事件披露原则，并通过产品安全问题处理机制处理产品安全问题。

获取华为公司安全应急响应服务及华为产品漏洞信息，请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com，详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。