安全预警 - 涉及华为手机DoS攻击的安全漏洞
- 预警编号:huawei-sa-20171129-01-smartphone
- 初始发布时间: 2017-11-29
- 更新发布时间: 2017-11-29
某些华为手机存在DoS攻击安全漏洞。攻击者通过诱使用户安装一个恶意手机应用程序来利用此漏洞,成功利用可以导致相机应用程序不可用。 (漏洞编号:HWPSIRT-2017-09006)
此漏洞的CVE编号为: CVE-2017-8164.
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20171129-01-smartphone-cn
|
产品名称 |
版本号 |
修复版本号 |
|
EVA-AL10 |
EVA-AL10C00B198 |
EVA-AL10C00B397 |
|
EVA-CL00 |
EVA-CL00C92B198 |
EVA-CL00C92B397 |
|
EVA-DL00 |
EVA-DL00C17B198 |
EVA-DL00C17B397 |
|
EVA-L09 |
EVA-L09C02B143 |
EVA-L09C02B350 |
|
EVA-L09C09B150 |
EVA-L09C09B362 |
|
|
EVA-L09C109B196 |
EVA-L09C109B365 |
|
|
EVA-L09C113B150 |
EVA-L09C113B372 |
|
|
EVA-L09C150B192 |
EVA-L09C150B371 |
|
|
EVA-L09C178B161 |
EVA-L09C178B384 |
|
|
EVA-L09C185B180 |
EVA-L09C185B391 |
|
|
EVA-L09C22B140 |
EVA-L09C22B380 |
|
|
EVA-L09C25B133 |
EVA-L09C25B324CUSTC25D003 |
|
|
EVA-L09C33B191 |
EVA-L09C33B363 |
|
|
EVA-L09C34B142 |
EVA-L09C34B380 |
|
|
EVA-L09C40B196 |
EVA-L09C40B364 |
|
|
EVA-L09C432B210 |
EVA-L09C432B393 |
|
|
EVA-L09C440B138 |
EVA-L09C440B382 |
|
|
EVA-L09C464B150 |
EVA-L09C464B383 |
|
|
EVA-L09C530B127 |
EVA-L09C530B384 |
|
|
EVA-L09C55B190 |
EVA-L09C55B373 |
|
|
EVA-L09C576B150 |
EVA-L09C576B386 |
|
|
EVA-L09C635B221 |
EVA-L09C635B389 |
|
|
EVA-L09C636B193 |
EVA-L09C636B388 |
|
|
EVA-L09C675B130 |
EVA-L09C675B320CUSTC675D004 |
|
|
EVA-L09C688B143 |
EVA-L09C688B383 |
|
|
EVA-L09C703B160 |
EVA-L09C703B381 |
|
|
EVA-L09C706B145 |
EVA-L09C706B381 |
|
|
EVA-L09GBRC555B171 |
EVA-L09GBRC555B383 |
|
|
EVA-L09IRLC368B160 |
EVA-L09IRLC368B370 |
|
|
EVA-L19 |
EVA-L19C10B190 |
EVA-L19C10B391 |
|
EVA-L19C185B220 |
EVA-L19C185B390 |
|
|
EVA-L19C20B160 |
EVA-L19C20B386 |
|
|
EVA-L19C432B210 |
EVA-L19C432B390 |
|
|
EVA-L19C636B190 |
EVA-L19C636B392 |
|
|
EVA-L29 |
EVA-L29C20B160 |
EVA-L29C20B386 |
|
EVA-L29C636B191 |
EVA-L29C636B389 |
|
|
EVA-TL00 |
EVA-TL00C01B198 |
EVA-TL00C01B397 |
|
VIE-L09 |
VIE-L09C02B131 |
VIE-L09C02B334 |
|
VIE-L09C109B181 |
VIE-L09C109B340 |
|
|
VIE-L09C113B170 |
VIE-L09C113B371 |
|
|
VIE-L09C150B170 |
VIE-L09C150B373 |
|
|
VIE-L09C25B120 |
VIE-L09C25B320CUSTC25D004 |
|
|
VIE-L09C40B181 |
VIE-L09C40B360 |
|
|
VIE-L09C432B181 |
VIE-L09C432B377 |
|
|
VIE-L09C55B170 |
VIE-L09C55B371 |
|
|
VIE-L09C605B131 |
VIE-L09C605B371 |
|
|
VIE-L09ITAC555B130 |
VIE-L09ITAC555B371 |
|
|
VIE-L29 |
VIE-L29C10B170 |
VIE-L29C10B382 |
|
VIE-L29C185B181 |
VIE-L29C185B384 |
|
|
VIE-L29C605B131 |
VIE-L29C605B370 |
|
|
VIE-L29C636B202 |
VIE-L29C636B386 |
攻击者利用此漏洞可以导致相机应用程序不可用。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
基础得分:3.3 (AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)
临时得分:3.1 (E:F/RL:O/RC:C)
利用漏洞发起攻击的预置条件:
攻击者成功地诱使用户安装一个恶意手机应用程序。
漏洞详细描述:
某些华为手机存在DoS攻击安全漏洞。攻击者通过诱使用户安装一个恶意手机应用程序来利用此漏洞,成功利用可以导致相机应用程序不可用。
无
支持自动更新的手机会收到系统更新提示,手机用户通过执行系统更新,完成对漏洞的修复。
该漏洞由来自加州大学河滨分校的钱志云教授上报给华为PSIRT。华为感谢钱志云与我们协同披露该漏洞,以保护华为的客户。
2017-11-29 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
