安全公告-对安全研究员Felix在2012 HITB安全会议“Hacking Huawei VRP”演讲内容的分析结果
- 初始发布时间: 2012-12-21
- 更新发布时间: 2012-12-21
2012年10月11日,Felix ‘FX’ Lindner在马来西亚HITB SecConf 2012大会上发表了关于“Hacking Huawei VRP”的报告,华为PSIRT团队在第一时间就报告内容进行了深入分析和评估。
该报告是在Felix ‘FX’ Lindner在美国Defcon 2012大会报告的基础上进行了更新,其中增加了路由器的Bootloader(BIOS) Password能够被‘hard-coded password’重置的内容。通过华为PSIRT的分析, 我们认为该问题并未产生实质性安全风险。
为避免BIOS系统被不当使用,产品增加了BIOS口令予以保护,该口令是客户可以自行修改配置的。但客户存在遗忘BIOS口令的情况,为此产品增加了重置BIOS口令的功能。该重置功能必须在设备启动时通过物理串口来完成,不会绕过客户的授权,不会给客户带来实质性安全风险。 为了避免外部误解,华为后续产品已经取消了重置BIOS口令的功能。
Felix ‘FX’ Lindner材料中的其他问题,华为公司已经给出了正式回应,参考链接如下:
安全公告-关于Recurity Lab披露华为AR系列路由器安全漏洞的声明
安全预警-HTTP模块中存在HTTP Session管理风险
2012-12-21 V1.0 INITIAL
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。若您在华为的产品中发现任何安全问题,请通过下列邮箱地址报告给华为psirt@huawei.com。
