Aviso de segurança - Vulnerabilidades de execução remota de código Apache log4j2 em alguns produtos Huawei

Resumo

Alguns produtos Huawei são afetados pelas vulnerabilidades de execução remota de código Apache Log4j2. As vulnerabilidades são causadas por um erro de análise recursiva em algumas funções do Apache Log4j2. Um invasor pode construir uma solicitação maliciosa para controlar os parâmetros de log e acionar uma vulnerabilidade de execução remota de código. (ID de vulnerabilidade: HWPSIRT-2021-28415 e HWPSIRT-2021-94301)

As duas vulnerabilidades receberam dois IDs de Vulnerabilidades e Exposições Comuns (CVE): CVE-2021-45046 e CVE-2021-44228.

Para produtos que lançaram atualizações de software para corrigir essas vulnerabilidades, a Huawei lançará e atualizará este Aviso de Segurança em:

http://www.huawei.com/br/psirt/security-advisories/huawei-sa-20211215-01-log4j-en

Versões e correções de software

Nome do produto	Versão afetada	Produto e versão resolvidos
SMSGW	V100R001C01	V100R001C01LG8001SPC002
	V100R002C11	V100R002C11LG8007SPC002
	V100R003C01	V100R003C01LG8016
Agile Controller-Campus	V100R003C60SPC202	V100R003C60SPC216
	V100R003C60SPC205
	V100R003C60SPC206
	V100R003C60SPC207
	V100R003C60SPC208
	V100R003C60SPC209
	V100R003C60SPC210
	V100R003C60SPC211
	V100R003C60SPC212
	V100R003C60SPC213
FusionCompute	6.5.0	6.5.1.HP8
	6.5.1	6.5.1.HP8
	8.0.0	8.0.1.HP3
	8.0.1
	8.0.RC2
	8.0.RC3
	8.1.0	Fusioncompute 8.1.1.1
	8.1.1
	8.1.RC1
FusionCube	6.0.0	6.0.5.SPC102
	6.0.1	6.0.5.SPC102
	6.0.2	FusionCube 1000C 8.0.0.CP1
	6.0.3	FusionCube 1000C 8.0.0.CP1
	6.0.5	6.0.5.SPC102
	6.0.RC1	FusionCube 1000C 8.0.0.CP1
	6.0.RC2	FusionCube 1000C 8.0.0.CP1
	6.0.RC3	6.0.5.SPC102
	6.0.RC5	FusionCube 1000C 8.0.0.CP1
FusionStorage OBS	7.0.0	OceanStor Pacific 9520 8.1.1.SPH2
FusionStorage OBS	7.0.1	OceanStor Pacific 9520 8.1.1.SPH2
GaussDB 200	6	GaussDB A 8.0.0.SP8
ManageOne	8.0.0	8.0.3.CP0033
	8.0.1
	8.0.2
	8.0.3
	8.1.0
NFV_FusionSphere	21.3.0	21.3.0.SPH1
	6.5.1	6.5.1.SPH35
	8.0.0	8.0.0.SPC25
	V100R006C50SPC105	V100R006C50SPC225
	V100R006C50SPC109
	V100R006C50SPC212
	V100R006C50SPC219
	V100R006C50SPC220
	V100R006C50SPH211
OceanStor 6800 V3	V300R006C60	V300R006C60SPC001
OceanStor 9000	V300R006C20	OceanStor 9000 V5 7.1.1.SPH109
SMC2.0	V500R002C00SPC900	V600R019C10SPC954
	V600R006C00
	V600R006C10
	V600R019C00
	V600R019C10
SoftCo	V200R003C50SPC500	V200R003C50SPC905
	V200R003C50SPC600
	V200R003C50SPC700
	V200R003C50SPC800
	V200R003C50SPC900
eAPP610	V100R006C00	V100R006C00SPC400
eCNS280^[1]	V100R005C10SPC200	V100R005C10SPC803
	V100R005C10SPC210
	V100R005C10SPC300
	V100R005C10SPC310
	V100R005C10SPC500
	V100R005C10SPC506
	V100R005C10SPC516
	V100R005C10SPC800
	V100R005C10SPC801
	V100R005C10SPC802
eCNS290^[1]	V100R005C30SPC200	V100R005C30SPC205
	V100R005C30SPC201
	V100R005C30SPC202
eLog	V200R007C10	V200R007C10SPC203
eSE620X vESS^[1]	V100R001C10SPC200	V200R001C00SPC361
	V100R001C20SPC300
	V200R001C00SPC360
eSpace ECS	V300R001C00SPC200	V300R001C00SPC223
	V300R001C00SPC201
	V300R001C00SPC202
	V300R001C00SPC203
	V300R001C00SPC205
	V300R001C00SPC206
	V300R001C00SPC207
	V300R001C00SPC208
	V300R001C00SPC209
	V300R001C00SPC210
	V300R001C00SPC211
	V300R001C00SPC212
	V300R001C00SPC213
	V300R001C00SPC215
	V300R001C00SPC216
	V300R001C00SPC217
	V300R001C00SPC218
	V300R001C00SPC219
	V300R001C00SPC220
	V300R001C00SPC221
	V300R001C00SPC222
eSpace U1910	V200R003C50SPC500	V200R003C50SPC905
	V200R003C50SPC600
	V200R003C50SPC700
	V200R003C50SPC800
	V200R003C50SPC900
eSpace U1911	V200R003C50SPC500	V200R003C50SPC905
	V200R003C50SPC600
	V200R003C50SPC700
	V200R003C50SPC800
	V200R003C50SPC900
eSpace U1930	V200R003C50SPC500	V200R003C50SPC905
	V200R003C50SPC600
	V200R003C50SPC700
	V200R003C50SPC800
	V200R003C50SPC900
eSpace U1960	V200R003C50SPC500	V200R003C50SPC905
	V200R003C50SPC600
	V200R003C50SPC700
	V200R003C50SPC800
	V200R003C50SPC900
eSpace U1980	V200R003C50SPC500	V200R003C50SPC905
	V200R003C50SPC600
	V200R003C50SPC700
	V200R003C50SPC800
	V200R003C50SPC900
eSpace U1981	V200R003C50	V200R003C50SPC905
iManager NetEco	V600R009C10	V600R010C00CP5303
iManager NetEco	V600R010C00	V600R010C00CP5303
iManager NetEco 6000	V600R008C00	V600R008C10CP5902
	V600R008C10	V600R008C10CP5902
	V600R009C00	V600R009C00CP2601
	V600R021C00	iMaster NetEco V600R021C10CP3301
	V600R021C10	iMaster NetEco V600R021C10CP3301
iMaster MAE-M	V100R020C10	iMaster MAE V100R020C10CP2309
	V100R021C10	iMaster MAE V100R021C10CP2703
	V100R022C00	iMaster MAE V100R022C00CP2101

NOTE

[1] Only the PC which installed LMT Tool will be affected. Core Network will not affected.

Impacto

Um invasor pode construir uma solicitação maliciosa para controlar os parâmetros de log e acionar uma vulnerabilidade de execução remota de código.

Detalhes de pontuação de vulnerabilidade

A classificação de vulnerabilidade foi realizada usando o sistema de pontuação CVSSv3.1 (http://www.first.org/cvss/specification-document).

HWPSIRT-2021-28415:

Pontuação base: 9.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)

Pontuação temporal: 8.3 (E:F/RL:O/RC:C)

HWPSIRT-2021-94301:

Pontuação base: 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Pontuação temporal: 9.3 (E:F/RL:O/RC:C)

Detalhes técnicos

Essas vulnerabilidades podem ser exploradas somente quando as seguintes condições estiverem presentes:

Os invasores podem acessar o sistema de destino.

Detalhes da vulnerabilidade:

Essas vulnerabilidades são causadas por um erro de análise recursiva em algumas funções do Apache Log4j2. Um invasor pode construir uma solicitação maliciosa para controlar os parâmetros de log e acionar uma vulnerabilidade de execução remota de código.

Correção temporária

Nenhuma

Obtendo software corrigido

Os clientes devem entrar em contato com o Huawei TAC (Huawei Technical Assistance Center) para solicitar as atualizações. Para obter informações de contato do TAC, consulte o site mundial da Huawei em http://www.huawei.com/br/psirt/report-vulnerabilities.

Fonte

As vulnerabilidades foram divulgadas externamente.

Histórico de revisão

2022-01-20 V1.7 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;

2022-01-14 V1.6 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;

2022-01-14 V1.5 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;

2022-01-12 V1.4 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;

2021-12-28 V1.3 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;

2021-12-24 V1.2 ATUALIZAÇÃO As seções "Versões e correções de software" e "Resumo" foram atualizadas;

2021-12-24 V1.1 ATUALIZAÇÃO A seção "Versões e correções de software" foi atualizada;

2021-12-15 V1.0 INICIAL

Perguntas frequentes

Nenhuma

Procedimentos de segurança da Huawei

A Huawei adota a proteção dos interesses finais dos usuários com os melhores esforços e o princípio de divulgação responsável e lidar com questões de segurança do produto por meio do nosso mecanismo de resposta.

Para desfrutar dos serviços Huawei PSIRT e obter informações sobre vulnerabilidade do produto Huawei, visite http://www.huawei.com/br/psirt.

Para relatar uma vulnerabilidade de segurança em produtos e soluções Huawei, envie-a para PSIRT@huawei.com. Para mais detalhes, visite http://www.huawei.com/br/psirt/report-vulnerabilities.

Declaração

Este documento é fornecido "NO ESTADO EM QUE SE ENCONTRA" e não implica qualquer tipo de garantia ou garantia, expressa ou implícita, incluindo as garantias de comercialização ou aptidão para um determinado propósito. Em nenhum caso a Huawei ou qualquer uma de suas subsidiárias controladas direta ou indiretamente ou seus fornecedores serão responsáveis por quaisquer danos, incluindo perda direta, indireta, incidental, consequente, de lucros comerciais ou danos especiais. Sua utilização do documento, por qualquer meio, será totalmente por seu próprio risco. A Huawei tem o direito de alterar ou atualizar este documento ocasionalmente.

Select a Country or Region

SEARCH HISTORY

Aviso de segurança - Vulnerabilidades de execução remota de código Apache log4j2 em alguns produtos Huawei