安全预警-华为服务器产品HMM软件的IPMICommand命令中的越权漏洞
- 预警编号:Huawei-SA-20141224-02-HMM
- 初始发布时间: 2014-12-24
- 更新发布时间: 2014-12-24
华为某些服务器产品的Hyper Module Management(HMM)软件存在安全漏洞。HMM的操作员使用该软件的IPMICommand命令操作iMana软件时,可以越权修改iMana的用户配置(漏洞编号: HWPSIRT-2014-11117)。
该漏洞的CVE编号为: CVE-2014-9696。
|
产品名称 |
版本号 |
修复产品版本号 |
|
Tecal E9000 Chassis |
V100R001C00SPC160及之前的版本 |
V100R001C00SPC180 |
Note : 为修复漏洞,只升级Tecal E9000 Chassis V100R001C00SPC180中的MM910-MM-V256软件即可。
HMM的操作员可以越权修改iMana的用户配置
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P)
临时得分:5.4 (E:F/RL:O/RC:C)
1.前提条件
攻击者可以登陆HMM软件
2. 攻击步骤:
HMM的操作员使用该软件的IPMICommand命令,向iMana软件发送修改用户配置的命令。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为内部测试人员发现。华为应急响应团队尚未知悉关于该漏洞的任何公开声明或者恶意使用。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2014-12-24 V1.0 INITIAL
无
