集团网站选择区域/语言

返回主菜单

华为门户网站群

集团网站: 公司介绍、新闻动态、展会活动等信息

消费者业务网站: 手机，PC和平板等智慧生活产品

企业业务网站: 企业商用产品、解决方案和服务

运营商业务网站: 运营商网络解决方案、产品及服务

华为云网站: 华为云服务及解决方案

选择区域/语言

安全预警 - 多个华为产品中存在NTPd安全漏洞

预警编号：Huawei-SA-20150316-01-NTPd
初始发布时间： 2015-03-16
更新发布时间： 2015-04-15

漏洞概述

华为注意到NTP.org和CERT/CC在2014年12月19日披露了NTPd中存在的一个栈溢出安全漏洞（CVE-2014-9295）。在4.2.8版本前的NTPd软件中存在的多个栈溢出漏洞，让攻击者能通过篡改的数据包，在被攻击系统中执行任意代码。

华为多个产品存在这个安全漏洞。（漏洞编号：HWPSIRT-2014-1276）

相关NVD链接: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9295

版本和修复

产品名称	版本号	修复产品版本号
Campus Controller	V100R001C00B001	V100R001C00SPC300B012
DC	V100R002C01SPC001	Suse Patch
eSight Network	V200R003C01/C10 V200R005C00	Suse Patch
eSpace DCM	V100R001C01LSTH06SPC002 V100R001C02/C03 V100R002C01	Suse Patch
eSpace IVS	V100R001C02	Suse Patch
FusionAccess	V100R005C10	Upgrade to V100R005C20SPC101
FusionAccess	V100R005C20	V100R005C20SPC101
FusionCube	V100R002C01SPC100 V100R002C02SPC100 V100R002C02SPC200 V100R002C02SPC300	Suse Patch
FusionStorage DSware	V100R003C02	V100R003C02SPC302
ManageOne SC	V100R002C20SPC200	Suse Patch
ManageOne	V100R002C00/C10	Suse Patch
OceanStor 18500	V100R001C00	V100R001C20SPC200
OceanStor 18800	V100R001C00	V100R001C20SPC200
OceanStor 18800F	V100R001C00	V100R001C20SPC200
OceanStor HDP3500E	V100R003C00	V100R003C00SPH505
OceanStor HVS85T	V100R001C00	V100R001C20SPC200
OceanStor HVS88T	V100R001C00	V100R001S20SPC200
OceanStor S2600T	V200R002C00	V200R002C20SPC200
OceanStor S5500T	V200R002C00	V200R002C20SPC200
OceanStor S5600T	V200R002C00	V200R002C20SPC200
OceanStor S5800T	V200R002C00	V200R002C20SPC200
OceanStor S6800T	V200R002C00	V200R002C20SPC200
OceanStor UDS	V100R002C00	Upgrade to V100R002C01SPC102
OceanStor UDS	V100R002C01	V100R002C01SPC102

影响后果

攻击者可以利用该漏洞，通过篡改的数据包，在被攻击系统中执行任意代码。

漏洞得分

漏洞使用CVSSv2计分系统进行分级（http://www.first.org/cvss/）

基础得分：7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P)

临时得分：5.9 (E:P/RL:O/RC:C)

技术细节

更多的技术信息，请参考如下链接：

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9295

规避措施

无

版本获取途径

用户可以通过华为TAC (Huawei Technical Assistance Center) 或华为网站（http://support.huawei.com/enterprise/）获取补丁/更新版本。

TAC的联系方式见链接： http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.

漏洞来源及漏洞被利用情况

该安全漏洞由NTP.org和CERT/CC首先披露。

联系渠道

对于华为产品和解决方案的安全问题，请通过PSIRT@huawei.com联系华为PSIRT。

对于通用的华为产品和解决方案的问题，直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助

更新记录

2015-04-15 V1.1 UPDATED updated list of affected products

2015-03-16 V1.0 INITIAL

漏洞信息FAQ

无

声明

本文件按“原样”提供，不承诺任何明示、默示和法定的担保，包括（但不限于）对适销性、适用性及不侵权的担保。在任何情况下，华为技术有限公司，或其直接或间接控制的子公司，或其供应商，对任何损失，包括直接，间接，偶然，必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。

华为安全应急响应对外服务

如果您要反馈华为产品的漏洞信息、获取华为公司安全应急响应服务及获取华为产品漏洞信息，请通过以下链接获取帮助：

http://www.huawei.com/cn/security/psirt。

选择区域/语言

产品

联接

计算

云

服务

行业解决方案

热点话题

个人及家庭产品支持

华为云服务支持

企业业务支持

运营商网络支持

合作伙伴

培训与认证

开发者

关于华为

新闻与活动

发现华为

历史搜索

安全预警 - 多个华为产品中存在NTPd安全漏洞

选择区域/语言

联接

计算

云

历史搜索

安全预警 - 多个华为产品中存在NTPd安全漏洞

在线客服

个人及家庭产品

华为云服务

企业服务

运营商网络服务