本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策

安全预警-涉及华为多种产品的OpenSSL Heartbeat Extension漏洞(Heartbleed bug)

  • 预警编号:Huawei-SA-20140417-Heartbleed
  • 初始发布时间: 2014年04月17日
  • 更新发布时间: 2015年03月11日

华为多种产品所使用的某些版本的OpenSSL软件存在安全漏洞。未经授权的远程攻击者可以读取所连接的SSL服务端或客户端的内存信息,每次攻击最多可以读取长达64K字节的信息。泄漏的内存信息可能包含如密码和私钥等敏感信息(漏洞编号: HWPSIRT-2014-0414)。

此漏洞的CVE编号为:CVE-2014-0160。

Product Name

Affected Version

Solved Plan/Patch Link

AHR

V100R003C00SPC350 and later versions

V100R003C00SPC360

BCM

BCM V300R003C01
BCM V300R003C30

V300R003C30LG0106SPC002
V300R003C50SPC020

Billing V5R5

CBS V500R005C21

BCM V300R003C30LG0106SPC002

BCM V300R003C50SPC020

CBS

CBS V300R003C01
CBS V100R002C02

BICP V100R001C50LS0002
BCM V300R003C30LG0106SPC002
BCM V300R003C50SPC020

CCE3.0

CCE V100R003C00

V100R003C00CP1301

CPS

CPS V100R001C10
CPS V100R001C20

BICP V100R001C50LS0002
BCM V300R003C30LG0106SPC002
BCM V300R003C50SPC020

CRM

CC&BM V100R002C61
CC&BM V100R002C62
CC&BM V100R002C72
Wimax BOSS V100R001C01

BICP V100R001C50LS0002

CSP

V600R005C10
V600R005C11SPC100

V600R003C99LG1022

CTI

V300R005C50
V300R006C30

V300R005C50SPC011

DWH

V100R002C10
V100R002C30

BICP V100R001C50LS0002

eBIMS

V100R001C00SPC100

V100R001C00SPC200

ECC500

V600R001C00

V600R001C00SPC100

EDC Solution

V100R001C01

Tecal E6000 Chassis V100R001C00SPC111
Tecal BH622 V2 V100R002C00SPC108
Tecal BH640 V2 V100R002C00SPC107

eLTE Broadband Access

eSight V300R001C10

V300R001C10CP2004

eCNS600 V100R001C00
eCNS600 V100R002C00

V100R002C00SPC300
V100R002C00SPC300

eSDK Solution

V100R002C01

eSDK IVS V100R003C10SPC100
eSDK UC V100R003C10SPC001

eSight

V200R003C00
V200R003C01
V200R003C10
V300R001C10
V300R001C00

V200R003C01SPC204
V200R003C10SPC104
V300R001C10CP2004
V300R001C00CP2016

eSight UC&C

V100R001C01
V100R001C02

V100R001C20SPH303
V100R001C01SPH301

eSpace desktop

V200R001

V200R001C03SPC800

eSpace Meeting Portal

V100R001C00

V100R001C00SPC302

eSpace IVS

V100R001C02

V100R001C02SPC102

eSpace UC

V200R001C50

V200R001C50SPC003T

EVC3.3

EVC V300R003C02

BICP V100R001C50LS0002

FusionCloud Desktop Solution

V100R003C00

Tecal E9000 Chassis V100R001C00SPC160
Tecal RH2285 V2 V100R002C00SPC113

Fusioncube

V100R002C00
V100R002C01

Tecal RH2288 V2 V100R002C00SPC115
Tecal E9000 Chassis V100R001C00SPC160

FusionSphere

V100R003C00

Tecal E9000 Chassis V100R001C00SPC160

HSS9860

HSS9860 V900R008C20

V900R008C20SPC508

HyperDP

OceanStor N8500V200R001C09

V200R001C09SPC500

OceanStor N8500 V200R001C91

V200R001C91SPC200

IDC Solution

V100R001C01

Tecal RH2288 V2 V100R002C00SPC115
Tecal RH2285 V2 V100R002C00SPC113
Tecal E6000 Chassis V100R001C00SPC111
Tecal BH622 V2 V100R002C00SPC108
Tecal BH640 V2 V100R002C00SPC107
Tecal BH640 V2 V100R002C00SPC107

V100R001C03

Tecal E9000 Chassis V100R001C00SPC160
Tecal RH2285 V2 V100R002C00SPC113
Tecal RH2288 V2 V100R002C00SPC115
Tecal RH2485 V2 V100R002C00SPC501
Tecal RH5885 V2 V100R001C02SPC109
Tecal XH310 V2 V100R001C00SPC107
Tecal XH311 V2 V100R001C00SPC107
Tecal XH320 V2 V100R001C00SPC109
Tecal XH621 V2 V100R001C00SPC105
Tecal RH1288 V2 V100R002C00SPC105
Tecal DH310 V2 V100R001C00SPC107
Tecal DH620 V2 V100R001C00SPC105
Tecal DH621 V2 V100R001C00SPC105
Tecal E6000 Chassis V100R001C00SPC111
Tecal BH622 V2 V100R002C00SPC108
Tecal BH640 V2 V100R002C00SPC107
CSB Solution V100R001C01SPC101

IDS2000

V300R001C11/C12/C31/C32

ECC500 V300R001C30

iManager M2000

iManager  M2000 V200R013C00SPC230
iManager M2000 V200R013C00HP2301

V200R013C00CP2302

iManager PRS

iManager PRS V100R014C00SPC100

V100R014C00CP1501

iManager U2000

iManager U2000 V100R009C00SPC300

V100R009C00SPC301

iManager U2000-M

iManager U2000 V200R014C00SPC100
iManager U2000 V200R014C00SPC110

V200R014C00SPC200

IMS

IMS V200R010C00

CGP V100R006C60SPC609

ISOP

V200R001C00

BICP V100R001C50LS0002

LMT of GGSN9811/ UGW9811/ PDSN9660/ WASN9770/ HA9661

GGSN9811 V900R008C01
UGW9811 V900R001C03
UGW9811 V900R001C05
UGW9811 V900R009C01
UGW9811 V900R009C02
UGW9811 V900R010C00
UGW9811 V900R010C01
UGW9811 V900R010C72
UGW9811 V900R010C81
HA9661 V900R007C06
PDSN9660 V900R007C02
PDSN9660 V900R007C03
PDSN9660 V900R007C05
PDSN9660 V900R007C06
WASN9770 V300R003C01
WASN9770 V300R003C02

UGW9811 V900R009C01SPC300
UGW9811 V900R009C02SPC200
UGW9811 V900R010C00SPC100
UGW9811 V900R010C01SPC200
UGW9811 V900R010C72SPC200
UGW9811 V900R010C81SPC100
HA9661 V900R007C06SPC300
PDSN9660 V900R007C06SPC200
WASN9770 V300R003C02SPC300

Mediation

Mediation V100R002C20
Mediation V100R002C30

BCM V300R003C30LG0106SPC002
BCM V300R003C50SPC020

Mobile phone Y300

Y300-0100 V100R001C00B197

V100R001C00版本的 OTA升级已开放
英国渠道版本:V100R001C479B197

Mobile phone G510

G510-0200 V100R001C00B193

V100R001C00B200
英国渠道版本:V100R001C479B193

Mobile phone U8686

V100R001C85B177/B187

OTA升级已开放

Mobile phone C8813

V100R001C92B173

V100R001C92B178

MSOFTX3000

MSOFTX3000 V200R010C10

V200R010C10SPH103

Nastar

GENEX Nastar V600R014C00SPC201T
GENEX Nastar V600R014C00

V600R014C00CP0010

NetCol ACC

V100R001C10/C20/C30

V100R001C10

NGIN

SNE V300R002C20
SNE V300R002C30
SNE V300R002C40
SNE V300R002C50

V300R002C50

BMP V100R002C30
BMP V100R002C40

V100R002C40SPC001

OCS

OCS V100R002C01
OCS V300R003C01

BCM V300R003C30LG0106SPC002
BICP V100R001C50LS0002
BCM V300R003C50SPC020

OIC

V100R001C00SPC300
V100R001C00SPC400

V100R001C00SPC401

OnlineMediation

OnlineMediationV300R003C01
OnlineMediationV300R003C02
OnlineMediationV300R003C21
OnlineMediationV300R003C30

ONIP SNE V300R002C50
BICP V100R001C50LS0002

OpenEye CMS

V300R001C60SPC001

V300R001C60SPC002

PCCS

PowerCube1000 V300R002C03
PowerCube Controller Software V300R002C00/C10/C20C/C30

V300R002C03SPC600

PDU8000

V100R002C00

V100R002C00SPC100

Policy Center

V100R003C00

V100R003C00SPC303

PRM

PRM V300R001C08
PRM V300R001C20

BCM V300R003C30LG0106SPC002
BCM V300R003C50SPC020

RCS9880

V100R002C10
V100R003C00

V100R002C10CP0001

V100R003C00CP0001

SAG

V200R001C38

V200R001C38LG0005

SANEX

V100R002C00

V100R002C00SPC002

Smart Campaign

V300R003C02

BICP V100R001C50LS0002

SMU02B SMU

V300R002C02
V300R002C10

SUM V300R002C02SPC73
SUM V300R002C20SPC74

SOFTX3000

V600R012C10

V600R012C10SPC203

SPS

V300R007C00

V300R007C00SPH103

STB

V100R002C15LLNL72
V100R002C15LSCD81

V100R001C06LCOE01SPC200

IPTV STB V100R002C15LLNL75
IPTV STB V100R002C15LSCD67

Tecal E6000

V100R002

Tecal E6000 Chassis V100R001C00SPC111
Tecal BH622 V2 V100R002C00SPC108
Tecal BH640 V2 V100R002C00SPC107

Tecal E6000 Chassis

V100R001C00

Tecal E6000 Chassis V100R001C00SPC111
Tecal BH620 V2 V100R002C00SPC105
Tecal BH621 V2 V100R002C00SPC105
Tecal BH622 V2 V100R002C00SPC108
Tecal BH640 V2 V100R002C00SPC107

Tecal E9000 Chassis

V100R001

Tecal E9000 Chassis V100R001C00SPC160
Tecal CH121 V100R001C00SPC150
Tecal CH140 V100R001C00SPC100
Tecal CH220 V100R001C00SPC150
Tecal CH221 V100R001C00SPC150
Tecal CH222 V100R002C00SPC150
Tecal CH240 V100R001C00SPC150
Tecal CH242 V100R001C00SPC150
Tecal CH242 V3 V100R001C00SPC100

Tecal RH1288 V2

V100R002C00

V100R002C00SPC105

Tecal RH2285 V2

V100R002C00

V100R002C00SPC113

Tecal RH2285H V2

V100R002C00

V100R002C00SPC108

Tecal RH2288 V2

V100R002C00

V100R002C00SPC115

Tecal RH2288H V2

V100R002C00

V100R002C00SPC110

Tecal RH2485 V2

V100R002

V100R002C00SPC501

Tecal RH5885 V2

V100R001
V100R003

V100R001C02SPC109

Tecal RH5885 V3

V100R003

V100R003C01SPC101

Tecal X6000

V100R002

Tecal XH310 V2 V100R001C00SPC107
Tecal XH311 V2 V100R001C00SPC107
Tecal XH320 V2 V100R001C00SPC109
Tecal XH621 V2 V100R001C00SPC105

Tecal X8000

V100R001

Tecal DH310 V2 V100R001C00SPC107
Tecal DH320 V2 V100R001C00SPC105
Tecal DH620 V2 V100R001C00SPC105
Tecal DH621 V2 V100R001C00SPC105
Tecal DH628 V2 V100R001C00SPC105

WebLMT of BSC6900

BSC6900 V100R016C00

V100R016C00SPC600

WebLMT of BSC6910

BSC6910 V100R016C00

V100R016C00SPC600

WebLMT of eGBTS/NODEB/MBTS

BTS3900 V100R009C00

V100R009C00SPC100

WebLMT of eNodeb(FDD)

BTS3900 V100R009C00

V100R009C00SPC100

WebLMT of eNodeb(TDD)

BTS3900 V100R009C00

V100R009C00SPC100

WFM

V200R001C00

V200R001C00SPC131

V100R001C01

V100R001C01SPC292

UAC3000

V100R003C00

CGP V100R006C60SPC609

UGC3200

UGC3200 V200R010C00

CGP V100R006C60SPC609

UPCC

UPCC V300R006C01
UPCC V300R006C02

V300R006C01SPC203
V300R006C02SPC105

UPS2000

V1R1C00/C10/C11/C30/C31

V100R001C10SPC500

UPS5000

V100R001C00/C01/C10/C02
V100R002C00/C01/C02/C03
V100R002C10/C11/C12/C13

V100R002C01SPC300
V100R001C10SPC600

USN9810

V900R012C01

V900R012C01SPH003

VGS SCG

V500R005C30

V500R005C30LG0001


该漏洞对华为产品的危害程度依不同产品而有不同。利用漏洞,攻击者可以获取设备的一定长度的内存信息。泄漏的内存信息可能包含如密码和私钥等敏感信息。

漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/

基础得分:5.0 (AV:N/AC:L/AU:N/C:P/I:N/A:N)

临时得分:3.9 (E:P/RL:O/RC:C)

  1. 前提条件:

需要攻击者能够本地或远程访问有漏洞的设备。

   2.  细节信息:

漏洞是由于OpenSSL软件对传输层安全协议(TLS)的心跳报文处理过程中,内存边界检查的错误导致的。通过向服务器发送恶意构造的TLS心跳报文,攻击者可以触发漏洞。攻击者也可能作为恶意服务器端,向来访的客户端发送恶意报文,达到攻击客户端的目的。攻击成功后,攻击者每发送一个恶意心跳报文都可以获取一定范围的内存信息,其中可能包含一些敏感信息,如密码和私钥等。

用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。

TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.


该漏洞由安全公司Codenomicon和谷歌安全工程师发现。

对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。

对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助


2015-03-11 V3.8 UPDATE  删除无效链接

2014-07-22 V3.7 UPDATE  刷新版本修复链接

2014-06-13 V3.6 UPDATE  刷新版本修复链接

2014-06-06 V3.5 UPDATE  刷新版本修复链接

2014-05-29 V3.4 UPDATE  刷新版本修复计划

2014-05-22 V3.3 UPDATE  刷新版本修复计划

2014-05-15 V3.2 UPDATE  刷新版本修复计划

2014-05-14 V3.1 UPDATE  刷新版本修复计划

2014-05-13 V3.0 UPDATE  刷新版本修复计划

2014-05-12 V2.9 UPDATE  刷新版本修复计划

2014-05-12 V2.8 UPDATE  刷新版本修复计划

2014-05-12 V2.7 UPDATE  刷新版本修复计划

2014-05-10 V2.6 UPDATE  刷新版本修复计划

2014-05-10 V2.5 UPDATE  刷新版本修复计划

2014-05-09 V2.4 UPDATE  刷新版本修复计划

2014-05-09 V2.3 UPDATE  刷新版本修复计划

2014-05-08 V2.2 UPDATE  刷新版本修复计划

2014-05-07 V2.1 UPDATE  刷新版本修复计划

2014-05-06 V2.0 UPDATE  刷新版本修复计划

2014-05-05 V1.9 UPDATE  刷新版本修复计划

2014-05-04 V1.8 UPDATE  刷新版本修复计划

2014-04-30 V1.7 UPDATE  刷新版本修复计划

2014-04-28 V1.6 UPDATE  刷新版本修复计划

2014-04-24 V1.5 UPDATE  刷新版本修复计划

2014-04-22 V1.4 UPDATE  刷新版本修复计划

2014-04-21 V1.3 UPDATE  刷新版本修复计划

2014-04-21 V1.2 UPDATE  刷新版本修复计划

2014-04-18 V1.1 UPDATE  刷新版本修复计划

2014-04-17 V1.0 INITIAL

本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。


如果您要反馈华为产品的漏洞信息、获取华为公司安全应急响应服务及获取华为产品漏洞信息,请通过以下链接获取帮助:

http://www.huawei.com/cn/security/psirt