安全预警-华为VRP SSH拒绝服务漏洞
- 预警编号:Huawei-SA-20141010-01-VRP
- 初始发布时间: 2014年10月10日
- 更新发布时间: 2016年05月18日
华为VRP平台的SSH模块在处理报文时,对报文内容中某个域缺少有效校验,攻击者成功利用这个漏洞,会导致使用VRP平台的设备服务中断(漏洞编号:HWPSIRT-2014-0701)。
此漏洞的CVE编号为:CVE-2014-8572。
|
产品名称 |
版本号 |
修复产品版本号 |
|
AC6605 |
AC6605 V200R001C00 |
AC6605 V200R005C00SPC600 |
|
AC6605 V200R002C00 |
||
|
ACU |
ACU V200R001C00 |
ACU V200R002C00SPH601 |
|
ACU V200R002C00 |
||
|
S2300/ S3300/ |
V100R006C05以及之前的版本 |
V100R006C05+V100R006CP0001 |
|
S5300/ S5700/ |
V100R006 |
V200R005C00SPC300+V200R005CP0001 |
|
V200R001 |
||
|
V200R002 |
||
|
V200R003 |
||
|
V200R005C00SPC300以及之前的版本 |
||
|
S7700/ S9300/ |
V100R006 |
V200R003C00SPC500+V200R003SPH008 或者V200R005C00SPC300+V200R005SPH001 |
|
V200R001 |
||
|
V200R002 |
||
| V200R003 |
V200R003C00SPC500+V200R003SPH008 |
|
| V200R005C00SPC300以及之前的版本 |
V200R005C00SPC300+V200R005SPH001 |
攻击者成功利用这个漏洞,会导致使用VRP平台的设备服务中断。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C)
临时得分:6.4 (E:F/RL:O/RC:C)
1. 前提条件:
1)攻击者必须能够连接到设备;
2)设备开启SSH服务;
2. 漏洞细节:
攻击者和设备建立SSH连接后,向设备发送特定的SSH报文。设备在处理时,没有对报文中某个域进行有效校验,导致设备服务中断。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2016-05-18 V1.3 UPDATED 刷新版本修复信息
2014-11-04 V1.2 UPDATED 增加CVE ID
2014-10-30 V1.1 UPDATED 刷新版本修复信息
2014-10-10 V1.0 INITIAL
无
