本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策
华为FusionSphere OpenStack存在一个权限提升的安全漏洞。由于权限限制不合适,一个拥有较高权限的攻击者可以获取其他用户的凭证。成功利用这个漏洞可以导致越权。 (漏洞编号:HWPSIRT-2017-07053)
此漏洞的CVE编号为: CVE-2017-8187.
华为FusionSphere OpenStack存在一个命令注入漏洞。由于对外部输入缺乏校验,一个拥有较高权限的攻击者可以将恶意代码注入受影响产品的特定模块,导致代码执行。 (漏洞编号:HWPSIRT-2017-07055)
此漏洞的CVE编号为: CVE-2017-8188.
华为FusionSphere OpenStack存在一个路径穿越漏洞。由于对路径校验不充分,一个拥有较高权限的攻击者可以利用这个漏洞覆盖文件,导致服务异常。 (漏洞编号:HWPSIRT-2017-07056)
此漏洞的CVE编号为: CVE-2017-8189.
华为FusionSphere OpenStack存在一个不合适的签名校验漏洞。由于对签名未做校验,一个拥有较高权限的攻击者可以利用这个漏洞植入恶意程序。 (漏洞编号:HWPSIRT-2017-07057)
此漏洞的CVE编号为: CVE-2017-8190.
华为FusionSphere OpenStack存在一个弱算法漏洞。攻击者可以利用这个漏洞破解加密信息,导致传输链上部分信息泄露。 (漏洞编号:HWPSIRT-2017-07058)
此漏洞的CVE编号为: CVE-2017-8191.
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20171018-01-fusionsphere-cn
产品名称 |
版本号 |
修复版本号 |
FusionSphere OpenStack |
V100R006C00SPC102(NFV) |
Upgrade to V100R006C10SPC300 |
HWPSIRT-2017-07053:
成功利用这个漏洞可以导致越权。
HWPSIRT-2017-07055:
攻击者可以利用此漏洞导致代码执行。
HWPSIRT-2017-07056:
攻击者可以利用这个漏洞覆盖文件,导致服务异常。
HWPSIRT-2017-07057:
攻击者可以利用这个漏洞植入恶意程序。
HWPSIRT-2017-07058:
攻击者可以利用此漏洞导致信息泄露。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
HWPSIRT-2017-07053:
基础得分:3.8 (AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L)
临时得分:3.6 (E:F/RL:O/RC:C)
HWPSIRT-2017-07055:
基础得分:4.7 (AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L)
临时得分:4.4 (E:F/RL:O/RC:C)
HWPSIRT-2017-07056:
基础得分:6.0 (AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)
临时得分:5.6 (E:F/RL:O/RC:C)
HWPSIRT-2017-07057:
基础得分:6.7 (AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
临时得分:6.2 (E:F/RL:O/RC:C)
HWPSIRT-2017-07058:
基础得分:3.7 (AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)
临时得分:3.5 (E:F/RL:O/RC:C)
HWPSIRT-2017-07053:
利用漏洞发起攻击的预置条件:
1. 攻击者可以访问受影响产品。
漏洞详细描述:
由于权限限制不合适,一个拥有较高权限的攻击者可以获取其他用户的凭证。成功利用这个漏洞可以导致越权。
HWPSIRT-2017-07055:
利用漏洞发起攻击的预置条件:
1. 攻击者可以访问受影响产品。
漏洞详细描述:
由于对外部输入缺乏校验,一个拥有较高权限的攻击者可以将恶意代码注入受影响产品的特定模块,导致代码执行。
HWPSIRT-2017-07056:
利用漏洞发起攻击的预置条件:
1. 攻击者可以访问受影响产品。
漏洞详细描述:
由于对路径校验不充分,一个拥有较高权限的攻击者可以利用这个漏洞覆盖文件,导致服务异常。
HWPSIRT-2017-07057:
利用漏洞发起攻击的预置条件:
1. 攻击者可以访问受影响产品。
漏洞详细描述:
由于对签名未做校验,一个拥有较高权限的攻击者可以利用这个漏洞植入恶意程序。
HWPSIRT-2017-07058:
利用漏洞发起攻击的预置条件:
1. 攻击者可以访问受影响产品。
漏洞详细描述:
攻击者可以利用这个漏洞破解加密信息,导致传输链上部分信息泄露。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities。
该漏洞由华为内部测试发现。
2018-03-14 V1.3 UPDATED 刷新受影响产品版本和修复信息;刷新漏洞评分;
2017-11-16 V1.2 UPDATE 更新漏洞信息
2017-11-10 V1.1 UPDATE 更新受影响产品列表
2017-10-18 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。