Aviso de segurança - Múltiplas vulnerabilidades no OpenSSL em maio de 2016
- SA No:huawei-sa-20160706-01-openssl
- Initial Release Date: 2016-07-06
- Last Release Date: 2022-01-10
Em 3 de maio de 2016, a OpenSSL Software Foundation lançou um aviso de segurança que incluía seis vulnerabilidades. Das seis vulnerabilidades divulgadas, quatro delas podem causar corrupção de memória ou uso excessivo de memória, uma pode permitir que um ataque oracle de preenchimento descriptografe o tráfego quando a conexão usa uma cifra AES CBC e o servidor suporta AES-NI e, por último, uma é específica para um produto que executa uma operação com codificação Extended Binary Coded Decimal Interchange Code (EBCDIC).
1. Vulnerabilidade de gravação fora dos limites de estruturas ASN.1 não confiáveis do OpenSSL. Uma vulnerabilidade no codificador ASN.1 no OpenSSL pode permitir que um invasor remoto não autenticado execute código arbitrário ou cause uma condição de negação de serviço (DoS). (ID da vulnerabilidade: HWPSIRT-2016-05002)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2016-2108.
2. Vulnerabilidade Man-in-the-Middle de criptografia OpenSSL AES CBC. Uma vulnerabilidade no OpenSSL pode permitir que um invasor remoto não autenticado descriptografe e acesse informações confidenciais. (ID da vulnerabilidade: HWPSIRT-2016-05261)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2016-2107.
3. Vulnerabilidade de corrupção de heap de estouro da função OpenSSL EVP_EncryptUpdate. Uma vulnerabilidade no OpenSSL pode permitir que um invasor remoto não autenticado execute código arbitrário ou cause uma condição de negação de serviço (DoS) em um sistema de destino. (ID da vulnerabilidade: HWPSIRT-2016-05262)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2016-2106.
4. Vulnerabilidade de estouro da função OpenSSL EVP_EncodeUpdate. Uma vulnerabilidade na função EVP_EncodeUpdate() no OpenSSL pode permitir que um invasor remoto não autenticado execute código arbitrário ou cause uma condição de negação de serviço (DoS). (ID da vulnerabilidade: HWPSIRT-2016-05263)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2016-2105.
5. Vulnerabilidade de negação de serviço da função OpenSSL d2i_CMS_bio. Uma vulnerabilidade no OpenSSL pode permitir que um invasor local cause uma condição de negação de serviço (DoS) em um sistema de destino. (ID da vulnerabilidade: HWPSIRT-2016-05264)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2016-2109.
6. Vulnerabilidade de Sobreleitura da Função OpenSSL ASN.1 Strings X509_NAME_oneline. Uma vulnerabilidade no OpenSSL pode permitir que um invasor remoto não autenticado obtenha acesso a informações confidenciais em um sistema de destino. (ID da vulnerabilidade: HWPSIRT-2016-05265)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2016-2176.
A Huawei lançou atualizações de software para corrigir essa vulnerabilidade. Este aviso está disponível no seguinte link:
http://www.huawei.com/br/psirt/security-advisories/huawei-sa-20160706-01-openssl-en
|
Nome do produto |
Versão afetada |
Produto e versão resolvidos |
|
9032 |
9032 V100R001C00 |
V100R001C00SPC101 |
|
Agile Controller-Campus |
V100R001C00 |
Upgrade to V100R002C10SPC400 |
|
V100R002C00 |
||
|
V100R002C10 |
V100R002C10SPC400 |
|
|
AnyOffice |
V200R002C20 |
Atualização para V200R006C00 |
|
V200R003C00 |
||
|
V200R005C00 |
||
|
AR510 |
V200R005C30 |
Atualização para V200R008C20 |
|
BH620 |
V100R001C00 |
V100R001C00SPC106 |
|
BH620 V2 |
V100R002C00 |
V100R002C00SPC301B010 |
|
CH221 |
V100R001C00 |
V100R001C00SPC266 |
|
CH225 V3 |
V100R001C00 |
V100R001C00SPC102 |
|
E5372s |
E5372s-32TCPU-V200R001B290D23SP00C00 |
E5372s-32TCPU-V200R001B290D25SP00C00 |
|
E5377Bs |
E5377Bs-605TCPU-V200R001B305D09SP00C00 |
E5377Bs-605TCPU-V200R001B313D13SP00C00 |
|
E5786s |
E5786s-32aTCPU-V200R001B313D15SP00C00 |
E5786s-32aTCPU-V200R001B313D17SP00C00 |
|
E5878s |
E5878s-32TCPU-V200R001B305D11SP00C00 |
E5878s-32TCPU-V200R001B313D13SP00C00 |
|
E6000 Chassis |
V100R001C00 |
V100R001C00SPC501B010 |
|
E9000 Chassis |
V100R001C00 |
V100R001C00SPC296 |
|
EEM |
V200R007C00 |
Atualização para V200R008C10 |
|
V200R007C10 |
||
|
V200R007C20 |
||
|
V200R008C00 |
||
|
eLog |
V200R005C00 |
V200R005C00SPC101 |
|
eSDK Platform |
V100R005C30 |
Atualização para V100R005C60 |
|
eSight Network |
V300R003C20 |
V300R003C20SPC106 |
|
V300R005C00 |
V300R005C00SPC302 |
|
|
eSpace IVS |
eSpace IVS V100R001C02SPC100 |
Atualização para eSpace VCN3000 V100R001C01SPC132 |
|
Eudemon8000E-X8 |
V300R001C01 |
V300R001C01SPCA00 |
|
V500R001C00 |
Atualização para V500R002C00SPC100 |
|
|
FireHunter6000 |
V100R001C20 |
V100R001C20SPC101 |
|
FusionAccess |
V100R003C00 |
Atualização para V100R006C00 |
|
V100R005C10 |
||
|
V100R005C20 |
||
|
V100R005C30 |
||
|
FusionInsight HD |
V100R002C50 |
Atualização para V100R002C60SPC200 |
|
FusionInsight |
FusionInsight V100R002C30 |
Atualização para FusionInsight HD V100R002C60SPC200 |
|
FusionManager |
FusionManager V100R003C10 |
Atualização para FusionSphere OpenStack V100R006C00RC3B036 |
|
FusionManager V100R005C00 |
||
|
FusionManager V100R005C10SPC700 |
||
|
FusionManager V100R006C00 |
||
|
FusionStorage DSware |
FusionStorage DSware V100R003C02 |
Atualização para FusionStorage V100R003C30U1SPC001 |
|
FusionStorage DSware V100R003C30 |
Atualização para FusionStorage V100R003C30U1SPC001 |
|
|
FusionStorage |
V100R003C00 |
Atualização para V100R003C30U1SPC001 |
|
G710-C00 |
V100R001C92B118 |
V100R001C92B135 |
|
HG253s V2-20 |
V100R001C205B027 |
V100R001C205B052 |
|
HG255s-10 |
V100R001C163B013 |
V100R001C163B026 |
| HiSTBAndroid |
V600R001C00SPC060
|
V600R001C00CP0013
|
|
iBMC |
V100R002C10 |
Atualização para V200R002C10 |
|
V100R002C30 |
||
|
IVS |
IVS V100R002C10 |
Atualização para eSpace VCN3000 V100R002C10SPC108 |
|
LogCenter |
LogCenter V100R001C10 |
Atualização para V100R001C20SPC102 |
|
LogCenter V100R001C20 |
V100R001C20SPC102 |
|
|
MT992-10 |
MV100R001C01B002 |
V100R001C01B019 |
|
OceanStor 18500 |
V100R001C10 |
Atualização para V100R001C30SPC201 |
|
OceanStor 18800 V3 |
V300R003C00 |
Atualização para V300R003C10SPC100 |
|
OceanStor 2860 V3 |
OceanStor 2860 V3 V300R001C00T |
Atualização para OceanStor 2800 V300R003C20 |
|
OceanStor 5600 V3 |
V300R001C00 |
Atualização para V300R003C10SPC100 |
|
OceanStor 5600 V3 |
V300R003C00 |
Atualização para V300R003C10SPC100 |
|
OceanStor 5600 V3 |
V300R003C10 |
V300R003C10SPC100 |
|
OceanStor 5800 V3 |
V300R002C00 |
Atualização para V300R003C10SPC100 |
|
OceanStor 9000 |
O V100R001C01 |
Atualização para V300R005C00SPC170 |
|
V100R001C30 |
OV300R005C00SPC170 |
|
|
OceanStor 9000E |
OceanStor 9000E V100R001C01 |
Atualização para OceanStor 9000 V300R005C00SPC170 |
|
OceanStor 9000E V100R002C00 |
||
|
OceanStor 9000E V100R002C19 |
||
|
OceanStor Backup Software |
V100R002C00 |
V100R002C00LHWS01SPC100 |
|
OceanStor BCManager |
V100R005C00 |
Atualização para V200R001C00 |
|
OceanStor CSE |
OceanStor CSE V100R002C00LSFM01B010 |
Atualização para OceanStor Onebox V100R002C00LSFM01SPC108 |
|
OceanStor HVS85T |
OceanStor HVS85T V100R001C30 |
OceanStor 18500 V100R001C30SPC201 |
|
OceanStor HVS85T |
OceanStor HVS85T V100R001C30 |
OceanStor 18500 V100R001C30SPC201 |
|
OceanStor N8500 |
V200R001C09 |
V200R001C09SPC506 |
|
V200R001C91 |
V200R001C91SPC902 |
|
|
Policy Center |
Policy Center V100R003C00 |
Atualização para Agile Controller-Campus V100R002C10SPC400 |
|
Policy Center V100R003C10 |
||
|
Public Cloud Solution |
Public Cloud Solution OpsTools 1.0.3 |
Public Cloud Solution 1.0.9 |
|
Public Cloud Solution V100R001C00 |
||
|
RH1288 V3 |
V100R003C00SPC100 |
V100R003C00SPC613 |
|
RH2285H V2 |
V100R002C00 |
V100R002C00SPC505 |
|
RH5885 V2 |
V100R001C00 |
Atualização para V100R001C02SPC302 |
|
RH5885 V3 |
V100R003C00 |
Atualização para V100R003C10SPC102 |
|
V100R003C01 |
Atualização para V100R003C10SPC102 |
|
|
RH8100 V3 |
V100R003C00 |
V100R003C00SPC207 |
|
SoftVCN |
V100R002C20 |
V100R002C20SPC100 |
|
Speedport Hybrid |
V100R001C01B021 |
Atualização para V100R001C03B012 |
|
USG9560 |
USG9560 V300R001C20 |
Atualização para USG9500 V500R001C30 |
|
USG9560 V300R002C00 |
Atualização para USG9500 V500R001C30 |
|
|
VCM |
V100R001C10 |
V100R001C10SPC006 |
|
VCM5010 |
VCM5010 V100R002C20 |
Atualização para VCM5020 V100R002C20 |
|
XH320 |
XH320 V100R001C00 |
Atualização para Tecal X6000 V100R001C02 |
|
XH620 |
XH620 V100R001C00 |
Atualização para XH620 V3 V100R003C00 |
CVE-2016-2108:
Com uma exploração bem sucedida desta vulnerabilidade, o invasor remoto para executar código arbitrário ou causar uma condição de negação de serviço (DoS).
CVE-2016-2107:
Com uma exploração bem-sucedida desta vulnerabilidade, o invasor pode obter informações confidenciais.
CVE-2016-2106:
Com uma exploração bem sucedida desta vulnerabilidade, o invasor remoto para executar código arbitrário ou causar uma condição de negação de serviço (DoS).
CVE-2016-2105:
Com uma exploração bem sucedida desta vulnerabilidade, o invasor remoto para executar código arbitrário ou causar uma condição de negação de serviço (DoS).
CVE-2016-2109:
Uma exploração bem-sucedida desta vulnerabilidade pode causar uma condição de negação de serviço (DoS).
CVE-2016-2176:
Com uma exploração bem-sucedida desta vulnerabilidade, o invasor pode obter informações confidenciais.
A classificação de vulnerabilidade foi realizada usando o sistema de pontuação CVSSv2 (http://www.first.org/cvss/).
CVE-2016-2108:
Pontuação base: 7.6(AV:N/AC:H/Au:N/C:C/I:C/A:C)
Pontuação temporal: 6.3 (E:F/RL:O/RC:C)
CVE-2016-2107:
Pontuação base: 5.4(AV:N/AC:H/Au:N/C:C/I:N/A:N)
Pontuação temporal: 4.5 (E:F/RL:O/RC:C)
CVE-2016-2106:
Pontuação base: 5.1(AV:N/AC:H/Au:N/C:P/I:P/A:P)
Pontuação temporal: 4.2 (E:F/RL:O/RC:C)
CVE-2016-2105:
Pontuação base: 5.1(AV:N/AC:H/Au:N/C:P/I:P/A:P)
Pontuação temporal: 4.2 (E:F/RL:O/RC:C)
CVE-2016-2109:
Pontuação base: 4.3(AV:N/AC:M/Au:N/C:N/I:N/A:P)
Pontuação temporal: 3.6(E:F/RL:O/RC:C)
CVE-2016-2176:
Pontuação base: 5.8(AV:N/AC:M/Au:N/C:P/I:N/A:P)
Pontuação temporal: 4.8 (E:F/RL:O/RC:C)
Para detalhes adicionais, os clientes são aconselhados a consultar o site:
Nenhuma
Os clientes devem entrar em contato com o Huawei TAC (Huawei Technical Assistance Center) para solicitar as atualizações. Para obter informações de contato do TAC, consulte o site mundial da Huawei em http://www.huawei.com/br/psirt/report-vulnerabilities.
Esta vulnerabilidade foi divulgada pelo site oficial do OpenSSL.
2022-01-10 V1.4 ATUALIZAÇÃO Atualizadas a lista de produtos afetados e a versão corrigida
2017-01-11 V1.3 ATUALIZAÇÃO Atualizadas a lista de produtos afetados e a versão corrigida
2016-12-27 V1.2 ATUALIZAÇÃO Atualizadas a lista de produtos afetados e a versão corrigida
2016-08-03 V1.1 ATUALIZAÇÃO Atualizadas a lista de produtos afetados e a versão corrigida
2016-07-06 V1.0 INICIAL
Nenhuma
A Huawei adota a proteção dos interesses finais dos usuários com os melhores esforços e o princípio de divulgação responsável e lidar com questões de segurança do produto por meio do nosso mecanismo de resposta.
Para desfrutar dos serviços Huawei PSIRT e obter informações sobre vulnerabilidade do produto Huawei, visite http://www.huawei.com/br/psirt.
Para relatar uma vulnerabilidade de segurança em produtos e soluções Huawei, envie-a para PSIRT@huawei.com. Para mais detalhes, visite http://www.huawei.com/br/psirt/report-vulnerabilities.