Este site utiliza cookies. Ao continuar navegando no site, você concorda com esse uso. Leia nossa política de privacidade
O site oficial do OpenSSL divulgou um aviso de segurança sobre uma vulnerabilidade de alto risco chamada DROWN (CVE-2016-0800) no dia 1º de março de 2016.
A vulnerabilidade acontece da seguinte forma: depois que o SSLv2 é usado, um invasor pode capturar pacotes ou agir como um intermediário (MIMT) para obter chaves de sessão SSL, descriptografar tráfego criptografado e obter informações confidenciais dos usuários. (ID da vulnerabilidade: HWPSIRT-2016-03007)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2016-0800.
Alguns produtos Huawei lançaram atualizações de software para corrigir essa vulnerabilidade. Este aviso está disponível no seguinte link:
http://www.huawei.com/br/psirt/security-advisories/huawei-sa-20160330-01-openssl-en
Nome do produto |
Versão afetada |
Produto e versão resolvidos |
Agile Controller-Campus |
V100R001C00 |
Atualização para V100R002C00SPC105 |
V100R002C00 |
V100R002C00SPC105 |
|
BH620 V2 |
V100R002C00 |
V100R002C00SPC200 |
BH621 V2 |
V100R002C00 |
V100R002C00SPC200 |
BH622 V2 |
V100R002C00 |
V100R002C00SPC300 |
BH640 V2 |
V100R002C00 |
V100R002C00SPC300 |
Campus Controller |
V100R001C00B001 |
Agile Controller-Campus V100R002C00SPC105 |
CH121 |
V100R001C00 |
V100R001C00SPC260 |
CH140 |
V100R001C00 |
V100R001C00SPC260 |
CH220 |
V100R001C00 |
V100R001C00SPC260 |
CH221 |
V100R001C00 |
V100R001C00SPC260 |
CH222 |
V100R002C00 |
V100R001C00SPC260 |
CH240 |
V100R001C00 |
V100R001C00SPC260 |
CH242 |
V100R001C00 |
V100R001C00SPC260 |
CSS |
CSS V100R001C00 |
OceanStor 9000 V100R001C30SPC200 |
E9000 Chassis |
V100R001C00 |
V100R001C00SPC290 |
eSight Network |
V300R003C10 |
Atualização para V300R003C20SPC105 |
V300R003C20 |
V300R003C20SPC105 |
|
eSight UC&C |
eSight UC&C V100R001C01 |
eSight Network V300R003C20SPC105 |
eSight UC&C V100R001C20 |
||
FusionManager |
V100R003C10 |
Atualização para V100R005C10SPC700 |
FusionStorage DSware |
V100R003C30 |
V100R003C30SPC200 |
FusionStorage |
V100R003C00SPC300 |
V100R003C00SPC308 |
V100R003C02SPC300 |
V100R003C02SPC306 |
|
HiSTBAndroid |
V600R001C00SPC060 |
Atualização para V600R002SPC030 |
HUAWEI Tecal E6000 |
HUAWEI Tecal E6000 V100R001C01 |
E6000 Chassis V100R001C00SPC500 |
OceanStor 9000 |
V100R001C01 |
Atualização para V100R001C30SPC200 |
V100R001C30 |
V100R001C30SPC200 |
|
OceanStor 9000E |
OceanStor 9000E V100R001C01 |
OceanStor 9000 V100R001C30SPC200 |
OceanStor 9000E V100R001C05 |
||
OceanStor 9000E V100R002C00 |
||
OceanStor 9000E V100R002C01 |
||
OceanStor 9000E V100R002C02 |
||
OceanStor N8500 |
V200R001C10 |
Atualização para V200R002C00SPC102 |
V200R002C00 |
V200R002C00SPC102 |
|
Policy Center |
Policy Center V100R003C00 |
Agile Controller-Campus V100R002C00SPC105 |
Policy Center V100R003C10 |
||
Public Cloud Solution |
Public Cloud Solution V100R001C00 |
Public Cloud Solution 0-DT 1.0.0 |
RH1288 V2 |
V100R002C00 |
V100R002C00SPC602 |
RH2285 V2 |
V100R002C00 |
V100R002C00SPC300 |
RH2285H V2 |
V100R002C00 |
V100R002C00SPC500 |
RH2288 V2 |
V100R002C00 |
V100R002C00SPC500 |
RH2288E V2 |
V100R002C00 |
V100R002C00SPC200 |
RH2288H V2 |
V100R002C00 |
V100R002C00SPC602 |
RH2485 V2 |
V100R002C00 |
V100R002C00SPC601 |
RH5885 V2 |
V100R001C00 |
Atualização para V100R001C02SPC302 |
V100R001C01 |
||
V100R001C02 |
V100R001C02SPC302 |
|
RH5885 V3 |
V100R003C00 |
Atualização para V100R003C01SPC111 |
RH5885H V3 |
V100R003C00 |
V100R003C00SPC113 |
X6000 |
X6000 V100R002C00 |
XH320 V2 V100R001C00SPC200 |
UPS2000 |
V100R001C10SPC500 |
Atualização para V100R021C92SPC050 |
V100R001C10SPC600 |
||
SMU(02S) |
V500R001C60 |
Atualização para SMU V500R003C00SPC031 |
V500R001C50 |
||
V500R002C00 |
||
V500R002C10 |
||
V500R002C20 |
||
V500R002C30 |
||
SMU(02B) |
V300R002C10 |
Atualização para SMU V500R002C20SPC961 |
V300R002C20 |
||
V300R003C00 |
||
V300R003C10 |
||
V300R003C91 |
||
V300R003C93 |
||
V500R001C00 |
||
V500R001C10 |
||
V500R001C20 |
||
SMU(02C) |
V500R001C60 |
Atualização para SMU V500R003C00SPC031 |
V500R001C20 |
||
V500R001C30 |
||
V500R001C50 |
||
V500R002C00 |
||
V500R002C10 |
||
V500R002C20 |
||
V500R002C30 |
||
V500R002C50 |
||
ECC500 |
ECC500 V600R001C00 |
ECC500 V600R001C03SPC102 |
ECC500 V600R001C03 |
||
ACC |
ACC V100R002C00SPC100 |
ACC V100R002C00SPC710 |
ACC V100R002C00SPC200 |
||
ACC V100R002C00SPC300 |
||
ACC V100R002C00SPC400 |
||
ACC V100R002C00SPC500 |
||
ACC V100R002C00SPC600 |
||
ACC V200R001C00SPC100 |
||
ACC V200R001C00SPC200 |
||
ACC V200R001C00SPC300 |
||
ACC V200R001C10SPC100 |
ACC V200R001C30SPC290 |
|
ACC V200R001C11SPC100 |
ACC V200R001C11SPC300 |
Com uma exploração bem-sucedida desta vulnerabilidade, o invasor pode obter informações confidenciais.
A classificação de vulnerabilidade foi realizada usando o sistema de pontuação CVSSv2 (http://www.first.org/cvss/).
Pontuação base: 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N)
Pontuação temporal: 3.6(E:F/RL:O/RC:C)
1. Pré-requisito:
O dispositivo usa OpenSSL, habilita SSLv2 e usa conjuntos de criptografia RSA.
2. Procedimento de ataque:
Depois que o SSLv2 é usado, um invasor pode capturar pacotes ou agir como um MIMT (man in the middle) para obter chaves de sessão SSL, descriptografar tráfego criptografado e obter informações confidenciais dos usuários.
Para detalhes adicionais, os clientes são aconselhados a consultar o site:
https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/.
Os clientes devem entrar em contato com o Huawei TAC (Huawei Technical Assistance Center) para solicitar as atualizações. Para obter informações de contato do TAC, consulte o site mundial da Huawei em http://www.huawei.com/br/psirt/report-vulnerabilities.
Esta vulnerabilidade foi divulgada pelo site oficial do OpenSSL.
2022-01-10 V1.4 ATUALIZAÇÃO Atualizadas as listas de produtos afetados e versão corrigida
2020-12-30 V1.3 ATUALIZAÇÃO Atualizadas as listas de produtos afetados e versão corrigida
2016-05-18 V1.2 ATUALIZAÇÃO Atualizadas as listas de produtos afetados e versão corrigida
2016-04-28 V1.1 ATUALIZAÇÃO Atualizadas as listas de produtos afetados e versão corrigida
2016-03-30 V1.0 INICIAL
Nenhuma
A Huawei adota a proteção dos interesses finais dos usuários com os melhores esforços e o princípio de divulgação responsável e lidar com questões de segurança do produto por meio do nosso mecanismo de resposta.
Para desfrutar dos serviços Huawei PSIRT e obter informações sobre vulnerabilidade do produto Huawei, visite http://www.huawei.com/br/psirt.
Para relatar uma vulnerabilidade de segurança em produtos e soluções Huawei, envie-a para PSIRT@huawei.com. Para mais detalhes, visite http://www.huawei.com/br/psirt/report-vulnerabilities.