安全预警 - 华为交换机存在内存泄露漏洞
- 预警编号:Huawei-SA-20160113-03-Switch
- 初始发布时间: 2016-01-13
- 更新发布时间: 2016-01-13
华为交换机作为HTTPS或SFTP服务器时,用户登录退出后SSL会话信息仍然保存在服务器内存中。当SSL会话信息占用的内存超过分配内存的限制后会出现内存泄露,导致设备重启。(漏洞编号:HWPSIRT-2015-11035)
此漏洞的CVE编号为:CVE-2015-8677。http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20160113-03-switch-cn
|
产品名称 |
版本号 |
修复版本号 |
|
S5300EI/ S5300SI/ S5310HI/ S6300EI |
V200R003C00 |
V200R003SPH011 |
|
V200R005C00 |
V200R005SPH008 |
|
|
S2350EI/ S5300LI |
V200R003C00 |
V200R003SPH011 |
|
V200R005C00 |
V200R005SPH008 |
|
|
V200R006C00 |
V200R006SPH002 |
|
|
S9300/ S7700/ S9700 |
V200R003C00 |
V200R003SPH011 |
|
V200R005C00 |
V200R005SPH009 |
|
|
V200R006C00 |
V200R006SPH003 |
|
|
S5720HI/ S5720EI |
V200R006C00 |
V200R006SPH002 |
|
S2300/ S3300 |
V100R006C05 |
V100R006SPH022 |
攻击者可以利用该漏洞耗尽HTTPS或SFTP服务器的分配内存,导致设备重启。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:4.0 (AV:N/AC:L/Au:S/C:N/I:N/A:P)
临时得分:3.3 (E:F/RL:O/RC:C)
1. 前提条件:
攻击者可以成功登陆HTTPS或SFTP服务器。
2. 攻击步骤:
攻击者多次登录、退出HTTPS或SFTP服务器后,用户的SSL会话信息仍然保留在服务器内存中。当SSL会话信息占用的内存超过分配内存的限制后会出现内存泄露,导致设备重启。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为内部测试发现。华为应急响应团队尚未知悉关于该漏洞的恶意使用。
2016-01-13 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。若您在华为的产品中发现任何安全问题,请通过下列邮箱地址报告给华为psirt@huawei.com。
