集团网站选择区域/语言

返回主菜单

华为门户网站群

集团网站: 公司介绍、新闻动态、展会活动等信息

消费者业务网站: 手机，PC和平板等智慧生活产品

企业业务网站: 企业商用产品、解决方案和服务

运营商业务网站: 运营商网络解决方案、产品及服务

华为云网站: 华为云服务及解决方案

选择区域/语言

安全预警 - 涉及华为部分产品的信息泄露漏洞

预警编号：huawei-sa-20191030-01-phone
初始发布时间： 2019-10-30
更新发布时间： 2020-01-02

漏洞概述

华为部分手机产品存在一个信息泄露的安全漏洞。由于某模块功能错误信息记录不合理，攻击者获取手机访问权限后，利用这个漏洞可以获取部分信息。 (漏洞编号：HWPSIRT-2019-04053)

此漏洞的CVE编号为: CVE-2019-5292.

华为已发布版本修复该漏洞。安全预警链接：

http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20191030-01-phone-cn

版本和修复

产品名称	版本号	修复版本号
HUAWEI Mate 20	EMUI9.1.0.135之前版本	EMUI9.1.0.135
HUAWEI P smart 2019	9.1.0.267(C432E2R2P1) 之前版本	9.1.0.267(C432E2R2P1)
HUAWEI P30	9.1.0.193之前版本	9.1.0.193
HUAWEI Y6 2019	9.1.0.234(C185E5R4P1) 之前版本	9.1.0.234(C185E5R4P1)
HUAWEI Y6 Pro 2019	9.1.0.234之前版本	9.1.0.234
HUAWEI nova 4	9.1.0.206(C185E1R1P1) 之前版本	9.1.0.206(C185E1R1P1)
HUAWEI nova 4	9.1.0.225(C636E1R4P1) 之前版本	9.1.0.225(C636E1R4P1)
HUAWEI nova lite 3	9.1.0.305(C635E8R2P2) 之前版本	9.1.0.305(C635E8R2P2)
Honor 10 Lite	9.1.0.266(C636E8R4P1) 之前版本	9.1.0.266(C636E8R4P1)
	9.1.0.269(C185E3R4P1) 之前版本	9.1.0.269(C185E3R4P1)
	9.1.0.269(C461E3R1P14) 之前版本	9.1.0.269(C461E3R1P14)
	9.1.0.273(C605E8R2P2) 之前版本	9.1.0.273(C605E8R2P2)
Honor 8A	9.1.0.234(C301E6R5P1) 之前版本	9.1.0.234(C301E6R5P1)
华为畅享 9S	9.1.0.218(C00E217R4P1) 之前版本	9.1.0.218(C00E217R4P1)
华为畅享 9e	9.1.0.205(C00E97R2P2) 之前版本	9.1.0.205(C00E97R2P2)
华为麦芒 8	9.1.0.217(C00E217R4P1) 之前版本	9.1.0.217(C00E217R4P1)
荣耀10青春版	9.1.0.217(C00E215R3P1) 之前版本	9.1.0.217(C00E215R3P1)
荣耀V20	9.1.0.247(C00E233R4P3) 之前版本	9.1.0.247(C00E233R4P3)
荣耀畅玩8A	9.1.0.205(C00E97R1P9) 之前版本	9.1.0.205(C00E97R1P9)

影响后果

攻击者可以利用此漏洞获得获取部分信息。

漏洞得分

漏洞使用CVSSv3计分系统进行分级（http://www.first.org/cvss/specification-document）

基础得分：3.3 (AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

临时得分：3.1 (E:F/RL:O/RC:C)

技术细节

利用漏洞发起攻击的预置条件：

攻击者获取手机访问权限。

漏洞详细描述：

华为部分手机产品存在一个信息泄露的安全漏洞。由于某模块功能错误信息记录不合理，攻击者获取手机访问权限后，利用这个漏洞可以获取部分信息。

规避措施

无

版本获取途径

支持自动更新的手机会收到系统更新提示，手机用户通过执行系统更新，完成对漏洞的修复。

漏洞来源

该漏洞由华为内部测试发现。

更新记录

2020-01-02 V1.1 UPDATED 添加CVE ID(CVE-2019-5292);刷新受影响产品版本和修复信息;

2019-10-30 V1.0 INITIAL

FAQs

无

华为安全应急响应对外服务

华为一贯主张尽全力保障产品用户的最终利益，遵循负责任的安全事件披露原则，并通过产品安全问题处理机制处理产品安全问题。

获取华为公司安全应急响应服务及华为产品漏洞信息，请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com，详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。

声明

本文件按“原样”提供，不承诺任何明示、默示和法定的担保，包括（但不限于）对适销性、适用性及不侵权的担保。在任何情况下，华为技术有限公司，或其直接或间接控制的子公司，或其供应商，对任何损失，包括直接，间接，偶然，必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。

选择区域/语言

产品

联接

计算

云

服务

行业解决方案

热点话题

个人及家庭产品支持

华为云服务支持

企业业务支持

运营商网络支持

合作伙伴

开发者

学习与认证

关于华为

新闻与活动

发现华为

历史搜索

安全预警 - 涉及华为部分产品的信息泄露漏洞

选择区域/语言

联接

计算

云

历史搜索

安全预警 - 涉及华为部分产品的信息泄露漏洞

在线客服

个人及家庭产品

华为云服务

企业服务

运营商网络服务