安全预警 -华为LogCenter产品存在权限提升漏洞
- 预警编号:Huawei-SA-20151202-01-LogCenter
- 初始发布时间: 2015-12-02
- 更新发布时间: 2015-12-02
华为LogCenter产品存在一个权限提升的漏洞,低权限的攻击者在登录LogCenter系统后,通过工具篡改查询请求,然后再提交给后台服务器,从而将自身的权限提升,导致系统的部分功能受影响。(漏洞编号: HWPSIRT-2015-09020)
该漏洞的CVE编号为: CVE-2015-8671。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-464217.htm
|
产品名称 |
版本号 |
修复版本号 |
|
LogCenter |
V100R001C10 |
V100R001C10SPC300B018 |
攻击者通过利用此漏洞,引起系统的部分功能受影响。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P)
临时得分:5.4 (E:F/RL:O/RC:C)
- 前提条件:
攻击者能够连接到设备并且登录成功。
2. 攻击步骤:
华为LogCenter产品对用户身份检查存在漏洞,攻击者篡改查询请求报文后,再提交给后台服务器,从而将自身的权限提升,导致系统的部分功能受影响。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
无
