安全预警 - GUN Glibc缓冲区溢出安全漏洞
- 预警编号:huawei-sa-20160304-01-glibc
- 初始发布时间: 2016-03-04
- 更新发布时间: 2020-12-23
2016年2月16日Google安全研究团队披露了一个GNU C library(glibc)基础库中的缓冲区溢出安全漏洞(CVE-2015-7547),远程攻击者成功利用该漏洞可以执行任意代码。(漏洞编号: HWPSIRT-2016-02018)
此漏洞的CVE编号为:CVE-2015-7547。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20160304-01-glibc-cn|
产品名称 |
版本号 |
修复版本号 |
|
AC6005 |
V200R005C10 |
V200R006C20SPC500 |
|
V200R006C00 |
||
|
V200R006C10 |
||
|
AP4050DN |
V200R007C20 |
V200R019C00SPC300 |
|
AR3200 |
V200R006C10 |
V200R007C00SPC600 |
|
V200R006C11 |
||
|
V200R006C12 |
||
|
V200R006C13 |
||
|
V200R006C15 |
||
|
V200R006C16 |
||
|
V200R006C17 |
||
|
Agile Controller-Campus |
V100R001C00 |
V100R002C00SPC105 |
|
V100R002C00 |
||
|
CloudEngine 12800 |
V100R002C00 |
V100R006C00SPC600 |
|
V100R003C00 |
||
|
V100R003C10 |
||
|
V100R005C00 |
||
|
V100R005C10 |
||
|
CloudEngine 5800 |
V100R002C00 |
V100R006C00SPC600 |
|
V100R003C00 |
||
|
V100R003C10 |
||
|
V100R005C00 |
||
|
V100R005C10 |
||
|
CloudEngine 6800 |
V100R002C00 |
V100R006C00SPC600 |
|
V100R003C00 |
||
|
V100R003C10 |
||
|
V100R005C00 |
||
|
V100R005C10 |
||
|
CloudEngine 7800 |
V100R003C00 |
V100R006C00SPC600 |
|
V100R003C10 |
||
|
V100R005C00 |
||
|
V100R005C10 |
||
|
FusionAccess |
V100R005C10 |
V100R005C30SPC105 |
|
V100R005C20 |
||
|
V100R005C30SPC100 |
||
|
V100R005C30SPC102 |
||
|
V100R005C30SPC103 |
||
|
FusionCompute |
V100R003C00 |
V100R005C10U1 |
|
V100R003C10 |
||
|
V100R005C00 |
||
|
V100R005C10 |
||
|
FusionCube |
V100R002C02 |
V100R002C50 |
|
FusionManager |
V100R003C00 |
V100R005C10U1 |
|
V100R003C10 |
||
|
V100R005C00 |
||
|
V100R005C10 |
||
|
FusionSphere OpenStack |
V100R005C00 |
V100R006C00 |
|
V100R005C10 |
||
|
Huawei solutions for SAP HANA |
V100R001C01SPC103 and earlier versions |
SUSE Patch |
|
ManageOne |
V100R001 |
Glibc Patch |
|
V100R002 |
||
|
OceanStor 18500 V3 |
V300R003C10SPC100 |
V300R003C20 |
|
OceanStor 18800 V3 |
V300R003C10SPC100 |
V300R003C20 |
|
OceanStor 5500 V3 |
V300R003C10SPC100 |
V300R003C20 |
|
OceanStor 5600 V3 |
V300R003C10SPC100 |
V300R003C20 |
|
OceanStor 5800 V3 |
V300R003C10SPC100 |
V300R003C20 |
|
OceanStor 6800 V3 |
V300R003C10SPC100 |
V300R003C20 |
|
OceanStor 9000 |
V100R001C01 |
V100R001C30SPC200 |
|
V100R001C30 |
||
|
V300R005C00 |
V300R005C00SPC170 |
|
|
OceanStor 9000E |
V100R002C19 |
V100R001C30SPC200 |
|
OceanStor Backup Software |
V100R002C00 |
V100R002C00SPC201[5] |
|
OceanStor HDP3500E |
V100R002C00 |
Glibc Patch |
|
V100R003C00 |
||
|
OceanStor N8500 |
V200R001C09 |
OceanStor Backup Software V100R002C00SPC201[5] |
|
V200R001C91 |
||
|
OceanStor Onebox |
V100R001C01 |
OceanStor Backup Software V100R002C00SPC201[5] |
|
V100R002C00LSFM01 |
||
|
V100R003C10SPC100 |
||
|
OceanStor UDS |
V100R002C00 |
V100R002C01SPC109 |
|
V100R002C01 |
||
|
RH1288A V2 |
V100R002C00 |
V100R002C00SPC706 |
|
versions earlier than RH1288A V2 V100R002C00SPC705 |
RH1288A V2 V100R002C00SPC705 |
|
|
RH2285H V2 |
V100R002C00 |
V100R002C00SPC300 |
|
RH2288A V2 |
V100R002C00 |
V100R002C00SPC706 |
|
RH5885 V3 |
V100R003C00 |
V100R003C10SPC109 |
|
S2700 |
V200R006C10 |
V200R011C10SPC600 |
|
SMSGW |
V100R001C01 |
Glibc Patch |
|
V100R002C01 |
||
|
V100R002C11 |
||
|
V100R003C01 |
||
|
V1300N |
V100R002 |
Glibc Patch |
|
VCM |
V100R002 |
Glibc Patch |
|
eLog |
V200R003C10 |
V200R003C10CP0001[3] |
|
V200R003C20 |
||
|
eOMC910 |
V100R004C00 |
eOMC910 V100R004C10 |
|
eSpace CAD |
V100R001 |
Glibc Patch |
|
eSpace UMS |
V200R002 |
Glibc Patch |
|
eSpace VCN3000 |
V100R001 |
Glibc Patch |
|
V100R002 |
||
|
iManager NetEco |
V600R002C00 |
iManager NetEco SysTool_SuSE_Patch1 V300R006C10SPC600 |
|
V600R007C00 |
||
|
V600R007C10 |
||
|
V600R007C11 |
||
|
V600R007C12 |
||
|
V600R007C20 |
||
|
V600R007C40 |
||
|
iManager NetEco 6000 |
V600R002C10 |
iManager NetEco SysTool_SuSE_Patch1 V300R006C10SPC600 |
|
V600R002C13 |
||
|
V600R002C33 |
[1] 仅Linux操作系统受影响,只需要升级CH220 V3 V100R001C00SPC190软件包中的CH220 V3-iBMC-V202.zip即可修复此漏洞。
[2]仅Linux操作系统受影响,只需要升级E9000 Chassis V100R001C00SPC291软件包中的MM910-MM-V532.zip即可修复此漏洞。
[3]仅Linux操作系统受影响,只需要升级eLog V200R003C10CP0001软件包中的suse11SP3Patch-64.zip即可修复此漏洞。
[4] 仅Linux操作系统受影响,只需要升级eSight Network V300R003C20SPC100(Upgrade Tool 2.0)软件包中的SUSE11_SP1_Patch.zip 或者SUSE11_SP3_Patch.zip 即可修复此漏洞。
[5]仅Linux操作系统受影响,只需要升级OceanStor Backup Software V100R002C00SPC201软件包中的OceanStor Backup Software V100R002C00SPC201_Glibc_Patch.tar.gz即可修复此漏洞。
[6]仅Linux操作系统受影响,只需要升级RH8100 V3 V100R003C00SPC203软件包中的RH8100 V3-iBMC-V206.zip即可修复此漏洞。
[7]仅Linux操作系统受影响,只需要升级X6800 V100R003C00SPC606软件包中的MM810-HMM-V202.zip即可修复此漏洞。
成功利用该漏洞可以执行任意代码。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P)
临时得分:5.6 (E:F/RL:O/RC:C)
Glibc漏洞存在于glibc库中的一个用于处理DNS请求的函数中(getaddrinfo),当受影响系统响应一个大于2048字节的DNS response时,可能会造成缓冲区溢出。远程攻击者成功利用该漏洞可以执行任意代码。
更多漏洞信息可以参考:https://googleonlinesecurity.blogspot.com/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
针对受影响产品没有有效的规避方案,但是客户可以部署华为NGFW(下一代防火墙)或者数据中心防火墙产品,并升级IPS特征库至2016年2月24日发布的最新版本(IPS_H20011000_2016022400)以检测和防护来自于网络层面的glibc漏洞攻击。
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities
该漏洞是由Google安全研究团队披露。
2020-12-23 V1.6 UPDATED 更新了受影响产品信息
2020-08-12 V1.5 UPDATED 更新了受影响产品信息
2016-12-28 V1.4 UPDATED 更新了受影响产品信息
2016-05-10 V1.3 UPDATED 更新了受影响产品信息
2016-04-22 V1.2 UPDATED 更新了受影响产品信息
2016-03-31 V1.1 UPDATED 更新了受影响产品信息
2016-03-04 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
