Este site utiliza cookies. Ao continuar navegando no site, você concorda com esse uso. Leia nossa política de privacidade
Alguns produtos Huawei são afetados pelas vulnerabilidades de execução remota de código Apache Log4j2. As vulnerabilidades são causadas por um erro de análise recursiva em algumas funções do Apache Log4j2. Um invasor pode construir uma solicitação maliciosa para controlar os parâmetros de log e acionar uma vulnerabilidade de execução remota de código. (ID de vulnerabilidade: HWPSIRT-2021-28415 e HWPSIRT-2021-94301)
As duas vulnerabilidades receberam dois IDs de Vulnerabilidades e Exposições Comuns (CVE): CVE-2021-45046 e CVE-2021-44228.
Para produtos que lançaram atualizações de software para corrigir essas vulnerabilidades, a Huawei lançará e atualizará este Aviso de Segurança em:
http://www.huawei.com/br/psirt/security-advisories/huawei-sa-20211215-01-log4j-en
Nome do produto |
Versão afetada |
Produto e versão resolvidos |
SMSGW |
V100R001C01 |
V100R001C01LG8001SPC002 |
V100R002C11 |
V100R002C11LG8007SPC002 |
|
V100R003C01 |
V100R003C01LG8016 |
|
Agile Controller-Campus |
V100R003C60SPC202 |
V100R003C60SPC216 |
V100R003C60SPC205 |
||
V100R003C60SPC206 |
||
V100R003C60SPC207 |
||
V100R003C60SPC208 |
||
V100R003C60SPC209 |
||
V100R003C60SPC210 |
||
V100R003C60SPC211 |
||
V100R003C60SPC212 |
||
V100R003C60SPC213 |
||
FusionCompute |
6.5.0 |
6.5.1.HP8 |
6.5.1 |
||
8.0.0 |
8.0.1.HP3 |
|
8.0.1 |
||
8.0.RC2 |
||
8.0.RC3 |
||
8.1.0 |
Fusioncompute 8.1.1.1 |
|
8.1.1 |
||
8.1.RC1 |
||
FusionCube |
6.0.0 |
6.0.5.SPC102 |
6.0.1 |
||
6.0.2 |
FusionCube 1000C 8.0.0.CP1 |
|
6.0.3 |
||
6.0.5 |
6.0.5.SPC102 |
|
6.0.RC1 |
FusionCube 1000C 8.0.0.CP1 |
|
6.0.RC2 |
||
6.0.RC3 |
6.0.5.SPC102 |
|
6.0.RC5 |
FusionCube 1000C 8.0.0.CP1 |
|
FusionStorage OBS |
7.0.0 |
OceanStor Pacific 9520 8.1.1.SPH2 |
7.0.1 |
||
GaussDB 200 |
6 |
GaussDB A 8.0.0.SP8 |
ManageOne |
8.0.0 |
8.0.3.CP0033 |
8.0.1 |
||
8.0.2 |
||
8.0.3 |
||
8.1.0 |
||
NFV_FusionSphere |
21.3.0 |
21.3.0.SPH1 |
6.5.1 |
6.5.1.SPH35 |
|
8.0.0 |
8.0.0.SPC25 |
|
V100R006C50SPC105 |
V100R006C50SPC225 |
|
V100R006C50SPC109 |
||
V100R006C50SPC212 |
||
V100R006C50SPC219 |
||
V100R006C50SPC220 |
||
V100R006C50SPH211 |
||
OceanStor 6800 V3 |
V300R006C60 |
V300R006C60SPC001 |
OceanStor 9000 |
V300R006C20 |
OceanStor 9000 V5 7.1.1.SPH109 |
SMC2.0 |
V500R002C00SPC900 |
V600R019C10SPC954 |
V600R006C00 |
||
V600R006C10 |
||
V600R019C00 |
||
V600R019C10 |
||
SoftCo |
V200R003C50SPC500 |
V200R003C50SPC905 |
V200R003C50SPC600 |
||
V200R003C50SPC700 |
||
V200R003C50SPC800 |
||
V200R003C50SPC900 |
||
eAPP610 |
V100R006C00 |
V100R006C00SPC400 |
eCNS280[1] |
V100R005C10SPC200 |
V100R005C10SPC803 |
V100R005C10SPC210 |
||
V100R005C10SPC300 |
||
V100R005C10SPC310 |
||
V100R005C10SPC500 |
||
V100R005C10SPC506 |
||
V100R005C10SPC516 |
||
V100R005C10SPC800 |
||
V100R005C10SPC801 |
||
V100R005C10SPC802 |
||
eCNS290[1] |
V100R005C30SPC200 |
V100R005C30SPC205 |
V100R005C30SPC201 |
||
V100R005C30SPC202 |
||
eLog |
V200R007C10 |
V200R007C10SPC203 |
eSE620X vESS[1] |
V100R001C10SPC200 |
V200R001C00SPC361 |
V100R001C20SPC300 |
||
V200R001C00SPC360 |
||
eSpace ECS |
V300R001C00SPC200 |
V300R001C00SPC223 |
V300R001C00SPC201 |
||
V300R001C00SPC202 |
||
V300R001C00SPC203 |
||
V300R001C00SPC205 |
||
V300R001C00SPC206 |
||
V300R001C00SPC207 |
||
V300R001C00SPC208 |
||
V300R001C00SPC209 |
||
V300R001C00SPC210 |
||
V300R001C00SPC211 |
||
V300R001C00SPC212 |
||
V300R001C00SPC213 |
||
V300R001C00SPC215 |
||
V300R001C00SPC216 |
||
V300R001C00SPC217 |
||
V300R001C00SPC218 |
||
V300R001C00SPC219 |
||
V300R001C00SPC220 |
||
V300R001C00SPC221 |
||
V300R001C00SPC222 |
||
eSpace U1910 |
V200R003C50SPC500 |
V200R003C50SPC905 |
V200R003C50SPC600 |
||
V200R003C50SPC700 |
||
V200R003C50SPC800 |
||
V200R003C50SPC900 |
||
eSpace U1911 |
V200R003C50SPC500 |
V200R003C50SPC905 |
V200R003C50SPC600 |
||
V200R003C50SPC700 |
||
V200R003C50SPC800 |
||
V200R003C50SPC900 |
||
eSpace U1930 |
V200R003C50SPC500 |
V200R003C50SPC905 |
V200R003C50SPC600 |
||
V200R003C50SPC700 |
||
V200R003C50SPC800 |
||
V200R003C50SPC900 |
||
eSpace U1960 |
V200R003C50SPC500 |
V200R003C50SPC905 |
V200R003C50SPC600 |
||
V200R003C50SPC700 |
||
V200R003C50SPC800 |
||
V200R003C50SPC900 |
||
eSpace U1980 |
V200R003C50SPC500 |
V200R003C50SPC905 |
V200R003C50SPC600 |
||
V200R003C50SPC700 |
||
V200R003C50SPC800 |
||
V200R003C50SPC900 |
||
eSpace U1981 |
V200R003C50 |
V200R003C50SPC905 |
iManager NetEco |
V600R009C10 |
V600R010C00CP5303 |
V600R010C00 |
||
iManager NetEco 6000 |
V600R008C00 |
V600R008C10CP5902 |
V600R008C10 |
||
V600R009C00 |
V600R009C00CP2601 |
|
V600R021C00 |
iMaster NetEco V600R021C10CP3301 |
|
V600R021C10 |
||
iMaster MAE-M |
V100R020C10 |
iMaster MAE V100R020C10CP2309 |
V100R021C10 |
iMaster MAE V100R021C10CP2703 |
|
V100R022C00 |
iMaster MAE V100R022C00CP2101 |
[1] Only the PC which installed LMT Tool will be affected. Core Network will not affected.
Um invasor pode construir uma solicitação maliciosa para controlar os parâmetros de log e acionar uma vulnerabilidade de execução remota de código.
A classificação de vulnerabilidade foi realizada usando o sistema de pontuação CVSSv3.1 (http://www.first.org/cvss/specification-document).
HWPSIRT-2021-28415:
Pontuação base: 9.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
Pontuação temporal: 8.3 (E:F/RL:O/RC:C)
HWPSIRT-2021-94301:
Pontuação base: 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Pontuação temporal: 9.3 (E:F/RL:O/RC:C)
Essas vulnerabilidades podem ser exploradas somente quando as seguintes condições estiverem presentes:
Os invasores podem acessar o sistema de destino.
Detalhes da vulnerabilidade:
Essas vulnerabilidades são causadas por um erro de análise recursiva em algumas funções do Apache Log4j2. Um invasor pode construir uma solicitação maliciosa para controlar os parâmetros de log e acionar uma vulnerabilidade de execução remota de código.
Nenhuma
Os clientes devem entrar em contato com o Huawei TAC (Huawei Technical Assistance Center) para solicitar as atualizações. Para obter informações de contato do TAC, consulte o site mundial da Huawei em http://www.huawei.com/br/psirt/report-vulnerabilities.
As vulnerabilidades foram divulgadas externamente.
2022-01-20 V1.7 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;
2022-01-14 V1.6 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;
2022-01-14 V1.5 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;
2022-01-12 V1.4 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;
2021-12-28 V1.3 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;
2021-12-24 V1.2 ATUALIZAÇÃO As seções "Versões e correções de software" e "Resumo" foram atualizadas;
2021-12-24 V1.1 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;
2021-12-15 V1.0 INICIAL
Nenhuma
A Huawei adota a proteção dos interesses finais dos usuários com os melhores esforços e o princípio de divulgação responsável e lidar com questões de segurança do produto por meio do nosso mecanismo de resposta.
Para desfrutar dos serviços Huawei PSIRT e obter informações sobre vulnerabilidade do produto Huawei, visite http://www.huawei.com/br/psirt.
Para relatar uma vulnerabilidade de segurança em produtos e soluções Huawei, envie-a para PSIRT@huawei.com. Para mais detalhes, visite http://www.huawei.com/br/psirt/report-vulnerabilities.
Este documento é fornecido "NO ESTADO EM QUE SE ENCONTRA" e não implica qualquer tipo de garantia ou garantia, expressa ou implícita, incluindo as garantias de comercialização ou aptidão para um determinado propósito. Em nenhum caso a Huawei ou qualquer uma de suas subsidiárias controladas direta ou indiretamente ou seus fornecedores serão responsáveis por quaisquer danos, incluindo perda direta, indireta, incidental, consequente, de lucros comerciais ou danos especiais. Sua utilização do documento, por qualquer meio, será totalmente por seu próprio risco. A Huawei tem o direito de alterar ou atualizar este documento ocasionalmente.