安全预警-华为交换机系列产品存在权限控制漏洞
- 预警编号:Huawei-SA-20150121-01-Quidway Switches
- 初始发布时间: 2015-01-21
- 更新发布时间: 2015-03-20
华为交换机在进行准入认证过程中,存在权限控制漏洞,导致攻击者可能获取较大的访问权限.(漏洞编号: HWPSIRT-2014-11119)。
此漏洞的CVE编号为:CVE-2015-1460。
|
产品名称 |
产品名称 |
修复产品版本号 |
|
Quidway S2350 |
V200R003C00SPC300 |
V200R005C00SPC300 |
|
Quidway S2750 |
V200R003C00SPC300 |
V200R005C00SPC300 |
|
Quidway S5300 |
V200R003C00SPC300 |
V200R005C00SPC300 |
|
Quidway S5700 |
V200R003C00SPC300 |
V200R005C00SPC300 |
|
Quidway S6300 |
V200R003C00SPC300 |
V200R005C00SPC300 |
|
Quidway S6700 |
V200R003C00SPC300 |
V200R005C00SPC300 |
|
Quidway S7700 |
V200R003C00SPC300 V200R003C00SPC500 |
V200R005C00SPC300 |
|
Quidway S9300 Quidway S9300E |
V200R003C00SPC300 V200R003C00SPC500 |
V200R005C00SPC300 |
|
Quidway S9700 |
V200R003C00SPC300 V200R003C00SPC500 |
V200R005C00SPC300 |
攻击者利用此漏洞,有可能获取较大的访问权限。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:5.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N)
临时得分:4.1 (E:F/RL:O/RC:C)
1. 前提条件:
攻击者能够连接到设备;
2. 攻击步骤:
华为交换机设备在进行一些准入认证过程中,缺少对特定报文的处理,从而存在权限控制漏洞,导致攻击者可能获取较大的访问权限。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-3-20 V1.2 UPDATED 漏洞概述
2015-1-23 V1.1 UPDATED
2015-1-21 V1.0 INITIAL
无
