Aviso de segurança - Vulnerabilidade de escalonamento de privilégios no produto Huawei
- SA No:huawei-sa-20211103-01-privilege
- Initial Release Date: 2021-11-03
- Last Release Date: 2022-02-23
Há uma vulnerabilidade de escalonamento de privilégios em alguns produtos Huawei. Devido à falta de restrições de privilégios, um invasor local autenticado pode executar uma operação específica para explorar essa vulnerabilidade. A exploração bem-sucedida pode fazer com que o invasor obtenha um privilégio maior. (ID da vulnerabilidade: HWPSIRT-2021-78991)
Esta vulnerabilidade recebeu um ID de Vulnerabilidades e Exposições Comuns (CVE): CVE-2021-39976.
A Huawei lançou atualizações de software para corrigir essa vulnerabilidade. Este anúncio está disponível no seguinte link:
http://www.huawei.com/br/psirt/security-advisories/huawei-sa-20211103-01-privilege-en
|
Nome do produto |
Versão afetada |
Produto e versão resolvidos |
|
CloudEngine 12800 |
V200R005C10SPC800 |
V200R005C10SPH037 |
|
V200R019C00SPC800 |
V200R019C10SPC800 + V200R019C10SPH011 |
|
|
V200R019C10SPC800 |
CloudEngine 12800&16800 V200R019SPH011 |
|
|
V200R019C10SPC900 |
CloudEngine 58&68&78&88&98 V200R019SPH011 |
|
|
CloudEngine 5800 |
V200R005C10SPC800 |
V200R005SPH037 |
|
V200R019C00SPC800 |
V200R019C10SPC800 + V200R019C10SPH011 |
|
|
V200R019C10SPC800 |
CloudEngine 58&68&78&88&98 V200R019SPH011 |
|
|
V200R020C00SPC600 |
V200R020SPH008 |
|
|
CloudEngine 6800 |
V200R005C10SPC800 |
V200R005SPH037 |
|
V200R005C20SPC800 |
V200R019C10SPC800 + V200R019C10SPH011 |
|
|
V200R019C00SPC800 |
||
|
V200R019C10SPC800 |
CloudEngine 58&68&78&88&98 V200R019SPH011 |
|
|
V200R019C10SPC900 |
||
|
V200R020C00SPC600 |
CloudEngine 58&68&78&88&98 V200R020SPH008 |
|
|
V300R020C00SPC200 |
V300R020C10SPC200 |
|
|
CloudEngine 7800 |
V200R005C10SPC800 |
V200R005SPH037 |
|
V200R019C00SPC800 |
V200R019C10SPC800 + V200R019SPH011 |
|
|
V200R019C10SPC800 |
CloudEngine 58&68&78&88&98 V200R019SPH011 |
A exploração bem-sucedida pode fazer com que o invasor obtenha um privilégio maior.
A classificação de vulnerabilidade foi realizada usando o sistema de pontuação CVSSv3 (http://www.first.org/cvss/specification-document).
Pontuação base: 6.7 (AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Pontuação temporal: 6.2 (E:F/RL:O/RC:C)
Essa vulnerabilidade pode ser explorada somente quando as seguintes condições estiverem presentes:
Os invasores podem fazer login no sistema com privilégios comuns.
Detalhes da vulnerabilidade:
Há uma vulnerabilidade de escalonamento de privilégios em alguns produtos Huawei. Devido à falta de restrições de privilégios, um invasor local autenticado pode executar uma operação específica para explorar essa vulnerabilidade. A exploração bem-sucedida pode fazer com que o invasor obtenha um privilégio maior.
Nenhuma
Os clientes devem entrar em contato com o Huawei TAC (Huawei Technical Assistance Center) para solicitar as atualizações. Para obter informações de contato do TAC, consulte o site mundial da Huawei em http://www.huawei.com/br/psirt/report-vulnerabilities.
Essa vulnerabilidade foi descoberta pelo testador interno da Huawei.
2022-02-23 V1.2 ATUALIZAÇÃO Atualizada a seção "Versões e correções de software";
2022-01-05 V1.1 ATUALIZAÇÃO Atualizada a seção "Versões e correções de software";
2021-11-03 V1.0 INICIAL
Nenhuma
A Huawei adota a proteção dos interesses finais dos usuários com os melhores esforços e o princípio de divulgação responsável e lidar com questões de segurança do produto por meio do nosso mecanismo de resposta.
Para desfrutar dos serviços Huawei PSIRT e obter informações sobre vulnerabilidade do produto Huawei, visite http://www.huawei.com/br/psirt.
Para relatar uma vulnerabilidade de segurança em produtos e soluções Huawei, envie-a para PSIRT@huawei.com. Para mais detalhes, visite http://www.huawei.com/br/psirt/report-vulnerabilities.