安全预警 - UDS产品注入漏洞
- 预警编号:Huawei-SA-20150318-01-UDS
- 初始发布时间: 2015-03-18
- 更新发布时间: 2015-03-18
OceanStor UDS有几个漏洞如下:
攻击者在补丁中注入JAVASCRIPT脚本,通过OceanStor deviceManager加载补丁后,返回信息中包含JAVASCRIPT脚本,OceanStor deviceManager解析执行时会导致信息泄露(漏洞编号:HWPSIRT-2014-1235)。
此漏洞的CVE编号为:CVE-2015-2251。
攻击者在补丁中注入SHELL脚本,通过OceanStor deviceManager加载补丁后,注入的SHELL脚本会以ROOT权限执行(漏洞编号: HWPSIRT-2014-1236)。
此漏洞的CVE编号为:CVE-2015-2252。
攻击者通过XML接口上传注入恶意代码的XML文件时,系统文件可能会被泄露(漏洞编号: HWPSIRT-2014-1237)。
此漏洞的CVE编号为:CVE-2015-2253。|
产品名称 |
版本号 |
修复产品版本号 |
|
OceanStor UDS |
V100R002C01SPC101 and earlier versions |
V100R002C01SPC102 |
漏洞HWPSIRT-2014-1235和HWPSIRT-2014-1237被利用后会导致信息泄露。
漏洞HWPSIRT-2014-1236被利用后会导致系统文件泄露、系统文件被修改以及业务中断。漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
HWPSIRT-2014-1235:
基础得分: 2.6 (AV:N/AC:H/Au:N/C:P/I:N/A:N)
临时得分: 2.1 (E:F/RL:O/RC:C)
HWPSIRT-2014-1236:
基础得分: 7.3 (AV:N/AC:H/Au:N/C:P/I:C/A:C)
临时得分: 6.0 (E:F/RL:O/RC:C)
HWPSIRT-2014-1237:
基础得分: 4.0 (AV:N/AC:L/Au:S/C:P/I:N/A:N)
临时得分: 3.3 (E:F/RL:O/RC:C)HWPSIRT-2014-1235:
- 前提条件:
攻击者可以获得并修改UDS补丁;
攻击者可以接入到UDS网络;
2. 攻击步骤:
攻击者在补丁中注入JAVASCRIPT脚本,通过OceanStor deviceManager加载补丁后,返回信息中包含JAVASCRIPT脚本,OceanStor deviceManager解析执行时会泄露信息。
HWPSIRT-2014-1236:
- 前提条件:
攻击者可以获得并修改UDS补丁;
攻击者可以接入到UDS网络;
2. 攻击步骤:
攻击者在补丁中注入SHELL脚本,通过OceanStor deviceManager加载补丁后,注入的SHELL脚本会以ROOT权限执行。
HWPSIRT-2014-1237:
- 前提条件:
攻击者可以接入到UDS网络;
攻击者可以获取到UDS用户的用户名和密码;
2. 攻击步骤:
攻击者通过XML接口上传注入恶意代码的XML文件时,系统文件可能会被泄露。无
用户可以通过华为TAC (Huawei Technical Assistance Center) 或华为网站(http://support.huawei.com/enterprise/)或者(http://support.huawei.com/carrier/)或者(http://consumer.huawei.com/cn/support/index.htm)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
无
