安全预警 - 涉及华为产品信息泄露的安全漏洞
- 预警编号:huawei-sa-20180919-02-smartphone
- 初始发布时间: 2018-09-19
- 更新发布时间: 2018-09-19
某些华为产品存在敏感信息泄露安全漏洞。由于对输入校验不充分,攻击者通过诱使用户安装一个恶意应用程序来利用此漏洞。攻击者成功利用漏洞后可以导致敏感信息泄露。 (漏洞编号:HWPSIRT-2018-05096)
此漏洞的CVE编号为: CVE-2018-7907.
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20180919-02-smartphone-cn
|
产品名称 |
版本号 |
修复版本号 |
|
Agassi-L09 |
AGS-L09C100B257CUSTC100D001 |
AGS-L09C100B271CUSTC100D001 |
|
AGS-L09C170B253CUSTC170D001 |
AGS-L09C170B270CUSTC170D001 |
|
|
AGS-L09C199B251CUSTC199D001 |
AGS-L09C199B272CUSTC199D001 |
|
|
AGS-L09C229B003CUSTC229D001 |
AGS-L09C229B271CUSTC229D001 |
|
|
Agassi-W09 |
AGS-W09C100B257CUSTC100D001 |
AGS-W09C100B271CUSTC100D001 |
|
AGS-W09C128B252CUSTC128D001 |
AGS-W09C128B271CUSTC128D001 |
|
|
AGS-W09C170B252CUSTC170D001 |
AGS-W09C170B270CUSTC170D001 |
|
|
AGS-W09C229B251CUSTC229D001 |
AGS-W09C229B272CUSTC229D001 |
|
|
AGS-W09C331B003CUSTC331D001 |
AGS-W09C331B271CUSTC331D001 |
|
|
AGS-W09C794B001CUSTC794D001 |
AGS-W09C794B271CUSTC794D001 |
|
|
Baggio2-U01A |
BG2-U01C100B160CUSTC100D001 |
BG2-U01C100B175CUSTC100D001 |
|
BG2-U01C170B160CUSTC170D001 |
BG2-U01C170B173CUSTC170D001 |
|
|
BG2-U01C199B162CUSTC199D001 |
BG2-U01C199B176CUSTC199D001 |
|
|
BG2-U01C209B160CUSTC209D001 |
BG2-U01C209B173CUSTC209D001 |
|
|
BG2-U01C333B160CUSTC333D001 |
BG2-U01C333B176CUSTC333D001 |
|
|
Bond-AL00C |
Bond-AL00CC00B201 |
8.0.0.356(C00) |
|
Bond-AL10B |
Bond-AL10BC00B201 |
8.0.0.356(C00) |
|
Bond-TL10B |
Bond-TL10BC01B201 |
8.0.0.356(C01) |
|
Bond-TL10C |
Bond-TL10CC01B131 |
Bond-TL10B 8.0.0.356(C01) |
|
Haydn-L1JB |
HDN-L1JC137B068 |
HDN-L1JC137B079 |
|
Kobe-L09A |
KOB-L09C100B252CUSTC100D001 |
KOB-L09C100B270CUSTC100D001 |
|
KOB-L09C209B002CUSTC209D001 |
KOB-L09C209B254CUSTC209D001 |
|
|
KOB-L09C362B001CUSTC362D001 |
KOB-L09C362B265CUSTC362D001 |
|
|
Kobe-L09AHN |
KOB-L09C233B226 |
KOB-L09C233B271 |
|
Kobe-W09C |
KOB-W09C128B251CUSTC128D001 |
KOB-W09C128B271CUSTC128D001 |
|
LelandP-L22C |
8.0.0.101(C675CUSTC675D2) |
Upgrade to 8.0.0.112(C675CUSTC675D1) |
|
LelandP-L22D |
8.0.0.101(C675CUSTC675D2) |
Upgrade to 8.0.0.112(C675CUSTC675D1) |
|
Rhone-AL00 |
Rhone-AL00C00B186 |
8.0.0.356(C00) |
|
Selina-L02 |
Selina-L02C432B153 |
Selina-L02C432B157 |
|
Stanford-L09S |
Stanford-L09SC432B183 |
8.0.0.370(C432) |
|
Toronto-AL00 |
Toronto-AL00C00B223 |
Toronto-AL00C00B225 |
|
Toronto-AL00A |
Toronto-AL00AC00B223 |
Toronto-AL00AC00B225 |
|
Toronto-TL10 |
Toronto-TL10C01B223 |
Toronto-TL10C01B225 |
攻击者利用此漏洞可以导致敏感信息泄露。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
基础得分:5.5 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
临时得分:5.1 (E:F/RL:O/RC:C)
利用漏洞发起攻击的预置条件:
攻击者通过诱使用户安装一个恶意应用程序。
漏洞详细描述:
某些华为产品存在敏感信息泄露安全漏洞。由于对输入校验不充分,攻击者通过诱使用户安装一个恶意应用程序来利用此漏洞。攻击者成功利用漏洞后可以导致敏感信息泄露。
无
支持自动更新的产品会收到系统更新提示,用户通过执行系统更新,完成对漏洞的修复。
该漏洞由华为内部测试发现。
2018-09-19 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
