Este site utiliza cookies. Ao continuar navegando no site, você concorda com esse uso. Leia nossa política de privacidade

Corporativo Brasil [alterar]
Corporativo
Sobre a Huawei, Imprensa e Eventos e mais
Pessoal
Celulares, Computadores e Tablets, utensílios e mais
Enterprise
Produtos, soluções e serviços para empresas
Carrier
Produtos, soluções e serviços para operadoras
Huawei Cloud
Produtos e soluções baseados nos serviços da Huawei Cloud

Select a Country or Region

Aviso de segurança - Vulnerabilidade de segurança OpenSSL DROWN

  • SA No:huawei-sa-20160330-01-openssl
  • Initial Release Date: 2016-03-30
  • Last Release Date: 2022-01-10

O site oficial do OpenSSL divulgou um aviso de segurança sobre uma vulnerabilidade de alto risco chamada DROWN (CVE-2016-0800) no dia 1º de março de 2016.

A vulnerabilidade acontece da seguinte forma: depois que o SSLv2 é usado, um invasor pode capturar pacotes ou agir como um intermediário (MIMT) para obter chaves de sessão SSL, descriptografar tráfego criptografado e obter informações confidenciais dos usuários. (ID da vulnerabilidade: HWPSIRT-2016-03007)

Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2016-0800.

Alguns produtos Huawei lançaram atualizações de software para corrigir essa vulnerabilidade. Este aviso está disponível no seguinte link:

http://www.huawei.com/br/psirt/security-advisories/huawei-sa-20160330-01-openssl-en

Nome do produto

Versão afetada

Produto e versão resolvidos

Agile Controller-Campus

V100R001C00

Atualização para V100R002C00SPC105

V100R002C00

V100R002C00SPC105

BH620 V2

V100R002C00

V100R002C00SPC200

BH621 V2

V100R002C00

V100R002C00SPC200

BH622 V2

V100R002C00

V100R002C00SPC300

BH640 V2

V100R002C00

V100R002C00SPC300

Campus Controller

V100R001C00B001

Agile Controller-Campus V100R002C00SPC105

CH121

V100R001C00

V100R001C00SPC260

CH140

V100R001C00

V100R001C00SPC260

CH220

V100R001C00

V100R001C00SPC260

CH221

V100R001C00

V100R001C00SPC260

CH222

V100R002C00

V100R001C00SPC260

CH240

V100R001C00

V100R001C00SPC260

CH242

V100R001C00

V100R001C00SPC260

CSS

CSS V100R001C00

OceanStor 9000 V100R001C30SPC200

E9000 Chassis

V100R001C00

V100R001C00SPC290

eSight Network   

V300R003C10

Atualização para V300R003C20SPC105

V300R003C20

V300R003C20SPC105

eSight UC&C

eSight UC&C V100R001C01

eSight Network V300R003C20SPC105

eSight UC&C V100R001C20

FusionManager

V100R003C10

Atualização para V100R005C10SPC700

FusionStorage DSware

V100R003C30

V100R003C30SPC200

FusionStorage

V100R003C00SPC300

V100R003C00SPC308

V100R003C02SPC300

V100R003C02SPC306

HiSTBAndroid

V600R001C00SPC060

Atualização para V600R002SPC030

HUAWEI Tecal E6000

HUAWEI Tecal E6000 V100R001C01

E6000 Chassis V100R001C00SPC500

OceanStor 9000

V100R001C01

Atualização para V100R001C30SPC200

V100R001C30

V100R001C30SPC200

OceanStor 9000E

OceanStor 9000E V100R001C01

OceanStor 9000 V100R001C30SPC200

OceanStor 9000E V100R001C05

OceanStor 9000E V100R002C00

OceanStor 9000E V100R002C01

OceanStor 9000E V100R002C02

OceanStor N8500

V200R001C10

Atualização para V200R002C00SPC102

V200R002C00

V200R002C00SPC102

Policy Center

Policy Center V100R003C00

Agile Controller-Campus V100R002C00SPC105

Policy Center V100R003C10

Public Cloud Solution

Public Cloud Solution V100R001C00

Public Cloud Solution 0-DT 1.0.0

RH1288 V2

V100R002C00

V100R002C00SPC602

RH2285 V2

V100R002C00

V100R002C00SPC300

RH2285H V2

V100R002C00

V100R002C00SPC500

RH2288 V2

V100R002C00

V100R002C00SPC500

RH2288E V2

V100R002C00

V100R002C00SPC200

RH2288H V2

V100R002C00

V100R002C00SPC602

RH2485 V2

V100R002C00

V100R002C00SPC601

RH5885 V2

V100R001C00

Atualização para V100R001C02SPC302

V100R001C01

V100R001C02

V100R001C02SPC302

RH5885 V3

V100R003C00

Atualização para V100R003C01SPC111

RH5885H V3

V100R003C00

V100R003C00SPC113

X6000

X6000 V100R002C00

XH320 V2 V100R001C00SPC200

UPS2000

V100R001C10SPC500

Atualização para V100R021C92SPC050

V100R001C10SPC600

SMU(02S)

V500R001C60

Atualização para SMU V500R003C00SPC031

V500R001C50

V500R002C00

V500R002C10

V500R002C20

V500R002C30

SMU(02B)

V300R002C10

Atualização para SMU V500R002C20SPC961

V300R002C20

V300R003C00

V300R003C10

V300R003C91

V300R003C93

V500R001C00

V500R001C10

V500R001C20

SMU(02C)

V500R001C60

Atualização para SMU V500R003C00SPC031

V500R001C20

V500R001C30

V500R001C50

V500R002C00

V500R002C10

V500R002C20

V500R002C30

V500R002C50
ECC500 
 ECC500 V600R001C00
 ECC500 V600R001C03SPC102
ECC500 V600R001C03
 ACC
 ACC V100R002C00SPC100 
 ACC V100R002C00SPC710
ACC V100R002C00SPC200
ACC V100R002C00SPC300
ACC V100R002C00SPC400
ACC V100R002C00SPC500
ACC V100R002C00SPC600 
ACC V200R001C00SPC100
ACC V200R001C00SPC200
ACC V200R001C00SPC300
ACC V200R001C10SPC100
 ACC V200R001C30SPC290
ACC V200R001C11SPC100
 ACC V200R001C11SPC300


Com uma exploração bem-sucedida desta vulnerabilidade, o invasor pode obter informações confidenciais.

A classificação de vulnerabilidade foi realizada usando o sistema de pontuação CVSSv2 (http://www.first.org/cvss/).

Pontuação base: 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Pontuação temporal: 3.6(E:F/RL:O/RC:C)

1. Pré-requisito:

O dispositivo usa OpenSSL, habilita SSLv2 e usa conjuntos de criptografia RSA.

2. Procedimento de ataque:

Depois que o SSLv2 é usado, um invasor pode capturar pacotes ou agir como um MIMT (man in the middle) para obter chaves de sessão SSL, descriptografar tráfego criptografado e obter informações confidenciais dos usuários.

Para detalhes adicionais, os clientes são aconselhados a consultar o site:

https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/.
Nenhuma


Os clientes devem entrar em contato com o Huawei TAC (Huawei Technical Assistance Center) para solicitar as atualizações. Para obter informações de contato do TAC, consulte o site mundial da Huawei em http://www.huawei.com/br/psirt/report-vulnerabilities.

Esta vulnerabilidade foi divulgada pelo site oficial do OpenSSL.

2022-01-10 V1.4 ATUALIZAÇÃO Atualizadas as listas de produtos afetados e versão corrigida
2020-12-30 V1.3 ATUALIZAÇÃO Atualizadas as listas de produtos afetados e versão corrigida

2016-05-18 V1.2 ATUALIZAÇÃO Atualizadas as listas de produtos afetados e versão corrigida
2016-04-28 V1.1 ATUALIZAÇÃO Atualizadas as listas de produtos afetados e versão corrigida
2016-03-30 V1.0 INICIAL

Nenhuma

A Huawei adota a proteção dos interesses finais dos usuários com os melhores esforços e o princípio de divulgação responsável e lidar com questões de segurança do produto por meio do nosso mecanismo de resposta.

Para desfrutar dos serviços Huawei PSIRT e obter informações sobre vulnerabilidade do produto Huawei, visite http://www.huawei.com/br/psirt.

Para relatar uma vulnerabilidade de segurança em produtos e soluções Huawei, envie-a para PSIRT@huawei.com. Para mais detalhes, visite http://www.huawei.com/br/psirt/report-vulnerabilities.

Este documento é fornecido "NO ESTADO EM QUE SE ENCONTRA" e não implica qualquer tipo de garantia ou garantia, expressa ou implícita, incluindo as garantias de comercialização ou aptidão para um determinado propósito. Em nenhum caso a Huawei ou qualquer uma de suas subsidiárias controladas direta ou indiretamente ou seus fornecedores serão responsáveis por quaisquer danos, incluindo perda direta, indireta, incidental, consequente, de lucros comerciais ou danos especiais. Sua utilização do documento, por qualquer meio, será totalmente por seu próprio risco. A Huawei tem o direito de alterar ou atualizar este documento ocasionalmente.