本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策
VP9660是华为视频会议系统的多媒体控制单元。
华为VP9660产品存在服务端未对输入完全做校验的安全漏洞。在使用内置WebServer场景下, 攻击者以业务管理员身份登录到设备后,通过构造修改特定报文信息发送到服务端,可以注入恶意命令,从而导致信息泄露,设备不可用。(漏洞编号: HWPSIRT-2015-08039)
该漏洞的CVE编号为:CVE-2015-8227。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-461218.htm
产品名称 |
版本号 |
修复版本号 |
VP9660 |
V200R001C01 |
Upgrade to V200R001C30SPC700 |
V200R001C02 |
||
V200R001C30 |
V200R001C30SPC700 |
利用这个漏洞,攻击者可以注入恶意命令,导致信息泄露,设备不可用。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:8.5 (AV:N/AC:M/Au:S/C:C/I:C/A:C)
临时得分:7.0 (E:F/RL:O/RC:C)
前提条件:
攻击步骤:
攻击者以业务管理员身份登录到VP9660设备。攻击者通过构造修改特定报文信息发送到服务端,绕过前端校验,VP9660服务端没有对输入参数完全做校验。攻击者可以注入恶意命令,从而导致信息泄露,设备不可用。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为内部测试发现。华为应急响应团队尚未知悉关于该漏洞的恶意使用。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-11-18 V1.1 UPDATED 分配CVE编号
2015-11-11 V1.0 INITIAL
无