安全预警-华为Tecal RH2285 V2服务器Web接口身份认证绕过漏洞
- 预警编号:Huawei-SA-20130718-TecalRH2285V2
- 初始发布时间: 2013-07-18
- 更新发布时间: 2013-07-18
Tecal RH2285 V2服务器(以下简称RH2285 V2)是华为公司针对互联网、IDC(Integrated Data Center)、云计算、企业市场以及电信业务应用等需求推出的具有广泛用途的2U双路服务器。
Tecal RH2285 V2设备上存在管理面Web接口身份认证绕过的漏洞,将导致数据泄露、被修改、增加或删除。 (漏洞编号: HWNSIRT-2013-0304)。
漏洞信息由奇虎360科技公司的白嘎力提供。感谢白嘎力和奇虎360科技公司对华为产品安全的关注。
目前已有规避措施可用,华为已经给出了升级版本。
|
产品名称 |
版本号 |
|
Tecal RH2285 V2 |
V100R002C00SPC103 |
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:8.5(AV:N/AC:M/Au:S/C:C/I:C/A:C)
临时得分:7.3 (E:F/RL:T/RC:C)
总分:7.3
- 前提条件:
攻击者可访问管理面登录界面;
攻击者获取普通用户登录权限
2. 攻击步骤:
获取前提条件后,攻击者添加非法管理员账号,绕过用户认证机制。
针对目前已经部署的Tecal RH2285华为服务器产品,为了规避风险,请参考以下规避措施:
- 通过物理或者逻辑方式将管理网段和互联网进行隔离,比如在管理网段与互联网连接的位置部署防火墙等设备;通过ACL过滤规则或者其他安全过滤方式仅允许特定网段的用户登录。
- 注:具体操作步骤请参考,相关产品手册或者用户手册。
解决方案:
Web后台服务端对所有请求数据的合法性和有效性进行验证。
升级版本信息和升级日期:
|
产品名称 |
版本号 |
补丁版本号 |
补丁日期 |
|
Tecal RH2285 V2 |
V100R002C00SPC103 |
V100R002C00SPC107 |
已发布 |
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
漏洞信息由奇虎360科技公司的白嘎力提供。华为PSIRT目前并未了解到有其他公共渠道对本文中提到的漏洞进行发布,以及漏洞被恶意利用的情况。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2013-07-18 V1.0 INITIAL
无
