安全预警 - VCN500 日志明文保存用户密码漏洞
- 预警编号:Huawei-SA-20151126-04-VCN500
- 初始发布时间: 2015-11-26
- 更新发布时间: 2015-11-26
华为VCN500(Video Cloud Node)视频云节点产品在日志中明文记录了用户在一特定接口下特定操作的用户密码,造成了用户密码泄露。(漏洞编号:HWPSIRT-2015-09032)
此漏洞的CVE编号为:CVE-2015-8335。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-463087.htm
|
产品名称 |
版本号 |
修复版本号 |
|
VCN500 |
V100R002C00SPC200B010 |
V100R002C00SPC201 |
|
V100R002C00SPC200 |
攻击者可以利用该漏洞获取用户密码。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:6.0 (AV:N/AC:M/Au:S/C:P/I:P/A:P)
临时得分:5.0 (E:F/RL:OF/RC:C)
前提条件:
1. 攻击者可以以合法用户身份登录VCN500并获取日志信息;
2. 攻击者知道如何触发该日志消息产生。
攻击步骤:
攻击者发送特殊构造的报文触发产生日志。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-11-26 V1.0 INITIAL
无
