产品名称	版本号	修复版本号
DP300	V500R002C00	V500R002C00SPCb00
RP200	V500R002C00	Upgrade to TE60 V600R006C00SPC400
RP200	V600R006C00	TE60 V600R006C00SPC400
TE30	V100R001C10	Upgrade to TE60 V600R006C00SPC400
	V500R002C00	Upgrade to TE60 V600R006C00SPC400
	V600R006C00	TE60 V600R006C00SPC400
TE40	V500R002C00	Upgrade to TE60 V600R006C00SPC400
TE40	V600R006C00	TE60 V600R006C00SPC400
TE50	V500R002C00	Upgrade to TE60 V600R006C00SPC400
TE50	V600R006C00	TE60 V600R006C00SPC400
TE60	V100R001C10	Upgrade to V600R006C00SPC400
	V500R002C00	Upgrade to V600R006C00SPC400
	V600R006C00	V600R006C00SPC400

影响后果

攻击者可以利用此漏洞影响某些服务的可用性。

漏洞得分

漏洞使用CVSSv3计分系统进行分级（http://www.first.org/cvss/specification-document）

HWPSIRT-2017-08119,HWPSIRT-2017-08120和HWPSIRT-2017-08121:

基础得分：5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

临时得分：4.9 (E:F/RL:O/RC:C)

技术细节

HWPSIRT-2017-08119:

利用漏洞发起攻击的预置条件：

攻击者能够接入设备所在的网络。

漏洞详细描述：

华为某些产品SCCPX模块存在读越界的安全漏洞。由于报文校验不充分，一个未经认证的远端攻击者可以通过发送含有特殊参数的报文向设备发起攻击，成功利用可能影响某些服务的可用性。

HWPSIRT-2017-08120和HWPSIRT-2017-08121:

利用漏洞发起攻击的预置条件：

攻击者能够接入设备所在的网络。

漏洞详细描述：

华为某些产品SCCPX模块存在两个无效内存访问的安全漏洞。由于报文校验不充分，一个未经认证的远端攻击者可以通过发送含有特殊参数的报文向设备发起攻击，成功利用可能影响某些服务的可用性。

规避措施

无

版本获取途径

用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。

TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities。

漏洞来源

该漏洞由华为内部测试发现。

更新记录

2018-02-07 V1.0 INITIAL

FAQs

无

华为安全应急响应对外服务

华为一贯主张尽全力保障产品用户的最终利益，遵循负责任的安全事件披露原则，并通过产品安全问题处理机制处理产品安全问题。

获取华为公司安全应急响应服务及华为产品漏洞信息，请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com，详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。

声明

本文件按“原样”提供，不承诺任何明示、默示和法定的担保，包括（但不限于）对适销性、适用性及不侵权的担保。在任何情况下，华为技术有限公司，或其直接或间接控制的子公司，或其供应商，对任何损失，包括直接，间接，偶然，必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。

选择区域/语言

产品

联接

计算

云

服务

行业解决方案

热点话题

个人及家庭产品支持

华为云服务支持

企业业务支持

运营商网络支持

合作伙伴

培训与认证

开发者

关于华为

新闻与活动

发现华为

历史搜索

安全预警 - 华为某些产品SCCPX模块存在三个安全漏洞

选择区域/语言

联接

计算

云

历史搜索

安全预警 - 华为某些产品SCCPX模块存在三个安全漏洞

在线客服

个人及家庭产品

华为云服务

企业服务

运营商网络服务