安全预警-VP9610/9620设备存在会话标识未更新漏洞
- 预警编号:Huawei-SA-20130513-01-VP
- 初始发布时间: 2013-05-13
- 更新发布时间: 2013-05-13
VP(Viewpoint)9610/VP9620是华为会议电视系统的多点控制单元。
经测试发现VP9610/9620产品存在“会话标识未更新”的安全漏洞。
(Vulnerability ID: HWNSIRT-2013-0318)。
当前已经有正式补丁发布。
VP9610 V100R002C02B019SP05及以前的版本
利用这个漏洞,攻击者可以仿冒用户登陆设备。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:8.5 (AV:N/AC:M/Au:S/C:C/I:C/A:C)
临时得分:7 (E:F/RL:O/RC:C)
前提条件:
- 用户访问VP9610/VP9620的web登陆界面,输入用户名和口令,登陆成功;
- 攻击者获取用户会话信息;
攻击步骤:
当用户登录到VP9610/VP9620时,会产生一个会话(Session),该会话ID在用户登录成功后没有及时更新,攻击者截取该会话后,可以仿冒用户登陆设备,从而形成攻击。
无
解决方案:
用户登录成功后, 及时更新用户Session ID;
升级版本信息和升级日期:
VP9610 V100R002C02B020SP01已经于2013.5.9发布
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为内部测试工程师上报。华为PSIRT目前并未了解到有其他公共渠道对本文中提到的漏洞进行发布,以及漏洞被恶意利用的情况。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2013-05-13 V1.0 INITIAL
无
本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。
