本站點使用cookies,繼續瀏覽表示您同意我們使用cookies。Cookies和隱私政策>

上海时时彩官方网: 安全預警 - 涉及華為產品的3個OpenSSL安全漏洞

  • 預警編號:huawei-sa-20170503-01-openssl
  • 初始發布時間: 2017年05月03日
  • 更新發布時間: 2020年01月15日

2017年1月26日OpenSSL官方發布了3個安全漏洞。

上海时时彩直播 www.dyoyr.tw 如果一個惡意的服務器在處理DHE或者ECDHE密鑰交換時提供了錯誤的參數,這會導致客戶端空指針引用,進而造成OpenSSL客戶端崩潰。 (漏洞編號:HWPSIRT-2017-02005) 

此漏洞的CVE編號為: CVE-2017-3730.

如果SSL / TLS服務器或客戶端運行在32位主機上,并使用了特定的密碼套,則一個被截斷的數據包可能會導致該服務器或客戶端越界讀,通常導致OpenSSL服務器或客戶端崩潰。 (漏洞編號:HWPSIRT-2017-02006)
此漏洞的CVE編號為: CVE-2017-3731.
運行在x86_64上的蒙哥馬利算法中存在一個漏洞,如果使用了DH算法并在多個客戶端之間共享私鑰,攻擊者成功利用這個漏洞可以獲取私鑰信息。 (漏洞編號:HWPSIRT-2017-02007)
此漏洞的CVE編號為: CVE-2017-3732.

華為已發布版本修復該漏洞。安全預警鏈接: 

//www.dyoyr.tw/cn/psirt/security-advisories/huawei-sa-20170503-01-openssl-cn

產品名稱

版本號

修復版本號

AC6005

V200R007C10SPC200

v200r007c20spc200

V200R007C10SPC300

V200R007C10SPC300PWE

V200R007C10SPH201

V200R007C10SPH301

V200R007C10SPH301PWE

AC6605

V200R007C10SPC200

v200r007c20spc200

V200R007C10SPC300

V200R007C10SPC300PWE

V200R007C10SPH201

V200R007C10SPH301

V200R007C10SPH301PWE

AP2000

V200R007C10SPC200

V200R007C20SPC200

V200R007C10SPC300

V200R007C10SPC500

V200R007C10SPC600

AP3000

V200R007C10SPC200

V200R007C20SPC200

V200R007C10SPC300

V200R007C10SPC500

V200R007C10SPC600

AP4000

V200R007C10SPC200

V200R007C20SPC200

V200R007C10SPC300

V200R007C10SPC500

V200R007C10SPC600

AP6000

V200R007C10SPC200

v200r007c20spc200

V200R007C10SPC300

V200R007C10SPC500

V200R007C10SPC600

AP7000

V200R007C10SPC200

v200r007c20spc200

V200R007C10SPC300

V200R007C10SPC500

V200R007C10SPC600

IPS Module

V500R001C30

V5R5C00SPC100

V500R001C50

V500R001C50PWE

NGFW Module

V500R002C00

V5R5C00SPC100

V500R002C10

V500R002C10PWE

OceanStor 9000

V300R005C00

V300R006C00SPC100

OceanStor Backup Software

V200R001C00

OceanStor BCManager V200R001C00SPC203

RH5885 V3

V100R003C01

V100R003C01SPC121

V100R003C10

V100R003C10SPC111

Secospace AntiDDoS8000

V500R001C60SPC501

V500R005C00SPC300

V500R001C60SPC600

V500R001C60SPH601

V500R005C00SPC100

V500R005C00SPC300

Secospace AntiDDoS8030

V500R001C60SPC100

V500R005C00

V500R001C60SPC300

V500R001C60SPC500

V500R001C80

Secospace USG6600

V500R001C30

V500R001C30SPC600

V500R001C50

V500R001C50PWE

UPS2000

V100R002C02

V100R002C02SPC302

V200R001C31

V200R001C01SPC300

V200R001C90

V100R002C02SPC302

USG9500

V500R001C30SPC100

V500R001C30SPC600

V500R001C30SPC200

eSpace VCN3000

V100R002C10SPC103

V100R002C30

V100R002C20SPC207



HWPSIRT-2017-02005:

攻擊者成功利用這個漏洞可以導致Openssl客戶端在鏈接一個惡意服務器時崩潰。

HWPSIRT-2017-02006:

攻擊者成功利用這個漏洞可以導致Openssl服務器或客戶端崩潰。

HWPSIRT-2017-02007:

攻擊者成功利用這個漏洞可以獲取私鑰信息。

漏洞使用CVSSv3計分系統進行分級(//www.first.org/cvss/specification-document

HWPSIRT-2017-02005:

基礎得分:5.9 (AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)

臨時得分:5.5 (E:F/RL:O/RC:C)

HWPSIRT-2017-02006:

基礎得分:5.9 (AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)

臨時得分:5.5 (E:F/RL:O/RC:C)

HWPSIRT-2017-02007:

基礎得分:5.9 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

臨時得分:5.5 (E:F/RL:O/RC:C)

漏洞詳細描述:

更多技術細節,可以參考此網址: https://www.openssl.org/news/secadv/20170126.txt

用戶可以通過華為TAC (Huawei Technical Assistance Center)獲取補丁/更新版本。

TAC的聯系方式見鏈接//www.dyoyr.tw/cn/psirt/report-vulnerabilities。



該漏洞由OpenSSL官網披露。

2020-01-15 V1.2 UPDATED 刷新受影響產品版本和修復信息;

2017-11-29 V1.1 UPDATED 刷新受影響產品版本和修復信息;刷新摘要;

2017-05-03 V1.0 INITIAL

華為一貫主張盡全力保障產品用戶的最終利益,遵循負責任的安全事件披露原則,并通過產品安全問題處理機制處理產品安全問題。

獲取華為公司安全應急響應服務及華為產品漏洞信息,請訪問//www.dyoyr.tw/cn/psirt。
反饋華為產品和解決方案安全問題,請反饋至華為PSIRT郵箱[email protected],詳情參考//www.dyoyr.tw/cn/psirt/report-vulnerabilities。

本文件按“原樣”提供,不承諾任何明示、默示和法定的擔保,包括(但不限于)對適銷性、適用性及不侵權的擔保。 在任何情況下,華為技術有限公司,或其直接或間接控制的子公司,或其供應商,對任何損失,包括直接,間接,偶然,必然的商業利潤損失或特殊損失均不承擔責任。您以任何方式使用本文件所產生的一切法律責任由您自行承擔?;梢運媸倍員疚募氐哪諶鶯托畔⒔行薷幕蚋?。