本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策
VP(Viewpoint)9610/VP9620是华为会议电视系统的多点控制单元。
经测试发现VP9610/9620产品存在“会话标识未更新”的安全漏洞。
(Vulnerability ID: HWNSIRT-2013-0318)。
当前已经有正式补丁发布。
VP9610 V100R002C02B019SP05及以前的版本
利用这个漏洞,攻击者可以仿冒用户登陆设备。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:8.5 (AV:N/AC:M/Au:S/C:C/I:C/A:C)
临时得分:7 (E:F/RL:O/RC:C)
前提条件:
攻击步骤:
当用户登录到VP9610/VP9620时,会产生一个会话(Session),该会话ID在用户登录成功后没有及时更新,攻击者截取该会话后,可以仿冒用户登陆设备,从而形成攻击。
无
解决方案:
用户登录成功后, 及时更新用户Session ID;
升级版本信息和升级日期:
VP9610 V100R002C02B020SP01已经于2013.5.9发布
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
无