本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策

安全预警 - 2016年5月公开的多个OpenSSL安全漏洞

  • 预警编号:huawei-sa-20160706-01-openssl
  • 初始发布时间: 2016年07月06日
  • 更新发布时间: 2022年01月10日

2016年3月,OpenSSL软件基金会(OpenSSL Software Foundation)发布了一个漏洞预警,包含6个漏洞。其中4个可导致内存崩溃或内存使用率过高;1个可导致填充异常提示攻击(padding oracle attack),当连接使用AES CBC密码算法且服务器支持AES-NI时,攻击者可利用此漏洞解密流量;最后1个只针对使用EBCDIC编码来执行操作的产品。

1.OpenSSL非受信ASN.1结构的越界写漏洞。OpenSSL的ASN.1编码器存在一个漏洞。远程未授权的攻击者可利用此漏洞执行任意代码或造成拒绝服务。(漏洞编号:HWPSIRT-2016-05002)

此漏洞的CVE编号为:CVE-2016-2108。

2.OpenSSL AES CBC密码算法的中间人(MITM)漏洞。OpenSSL存在一个漏洞。远程未授权的攻击者可利用此漏洞解密和访问敏感信息。(漏洞编号:HWPSIRT-2016-05261)

此漏洞的CVE编号为:CVE-2016-2107。

3.OpenSSL EVP_EncryptUpdate函数的溢出堆破坏漏洞。OpenSSL存在一个漏洞。远程未授权的攻击者可利用此漏洞在目标系统上执行任意代码或造成拒绝服务。(漏洞编号:HWPSIRT-2016-05262)

此漏洞的CVE编号为:CVE-2016-2106。

4.OpenSSL EVP_EncryptUpdate函数的溢出漏洞。OpenSSL的EVP_EncodeUpdate()函数存在一个漏洞。远程未授权的攻击者可利用此漏洞执行任意代码或造成拒绝服务。(漏洞编号:HWPSIRT-2016-05263)

此漏洞的CVE编号为:CVE-2016-2105。

5.OpenSSL d2i_CMS_bio函数的拒绝服务漏洞。OpenSSL存在一个漏洞。本地攻击者可利用此漏洞导致目标系统拒绝服务。(漏洞编号:HWPSIRT-2016-05264)

此漏洞的CVE编号为:CVE-2016-2109。

6.OpenSSL ASN.1 Strings X509_NAME_oneline函数的越界读取漏洞。OpenSSL存在一个漏洞。远程未授权攻击者可利用此漏洞访问目标系统上的敏感信息。(漏洞编号:HWPSIRT-2016-05264)

此漏洞的CVE编号为:CVE-2016-2176。

华为部分产品已发布版本修复该漏洞。安全预警链接:

http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20160706-01-openssl-cn

产品名称

版本号

 

修复版本号

9032

V100R001C00

 

V100R001C00SPC101

 Agile Controller-Campus

V100R001C00

 

Upgrade to V100R002C10SPC400

V100R002C00

 

V100R002C10

 

V100R002C10SPC400

AnyOffice

V200R002C20

 

Upgrade to V200R006C00

V200R003C00

 

V200R005C00

 

 AR510

V200R005C30

 

Upgrade to V200R008C20

 BH620

V100R001C00

 

V100R001C00SPC106 

 BH620 V2

V100R002C00

 

V100R002C00SPC301B010

 CH221

V100R001C00

 

V100R001C00SPC266

CH225 V3

V100R001C00

 

V100R001C00SPC102

E5372s

E5372s-32TCPU-V200R001B290D23SP00C00

 

E5372s-32TCPU-V200R001B290D25SP00C00

E5377Bs

E5377Bs-605TCPU-V200R001B305D09SP00C00

 

E5377Bs-605TCPU-V200R001B313D13SP00C00

E5786s

E5786s-32aTCPU-V200R001B313D15SP00C00

 

E5786s-32aTCPU-V200R001B313D17SP00C00

E5878s

E5878s-32TCPU-V200R001B305D11SP00C00

 

E5878s-32TCPU-V200R001B313D13SP00C00

E6000 Chassis

V100R001C00

 

V100R001C00SPC501B010

E9000 Chassis

V100R001C00

 

V100R001C00SPC296

EEM

V200R007C00

 

Upgrade to V200R008C10

V200R007C10

 

V200R007C20

 

V200R008C00

 

eLog

V200R005C00

 

V200R005C00SPC101

eSDK Platform

V100R005C30

 

Upgrade to V100R005C60

eSight Network

V300R003C20

 

V300R003C20SPC106

V300R005C00

 

V300R005C00SPC302

eSpace IVS

eSpace IVS V100R001C02SPC100

 

Upgrade to eSpace VCN3000 V100R001C01SPC132

Eudemon8000E-X8

V300R001C01

 

V300R001C01SPCA00

V500R001C00

 

Upgrade to V500R002C00SPC100

FireHunter6000

V100R001C20

 

V100R001C20SPC101

FusionAccess

V100R003C00

 

Upgrade to V100R006C00

V100R005C10

 

V100R005C20

 

V100R005C30

 

FusionInsight HD

V100R002C50

 

Upgrade to V100R002C60SPC200

FusionInsight

FusionInsight V100R002C30

 

Upgrade to FusionInsight HD V100R002C60SPC200

FusionManager

FusionManager V100R003C10

 

Upgrade to FusionSphere OpenStack V100R006C00RC3B036

FusionManager V100R005C00

 

FusionManager V100R005C10SPC700

 

FusionManager V100R006C00

 

FusionStorage DSware

FusionStorage DSware V100R003C02

 

Upgrade to FusionStorage V100R003C30U1SPC001

FusionStorage DSware V100R003C30

 

Upgrade to FusionStorage V100R003C30U1SPC001

FusionStorage

V100R003C00

 

Upgrade to V100R003C30U1SPC001

G710-C00

V100R001C92B118

 

V100R001C92B135

HG253s V2-20

V100R001C205B027

 

V100R001C205B052

HG255s-10

V100R001C163B013

 

V100R001C163B026

 
HiSTBAndroid
V600R001C00SPC060
   
V600R001C00CP0013

iBMC

V100R002C10

 

Upgrade to  V200R002C10

V100R002C30

 

IVS

IVS V100R002C10

 

Upgrade to eSpace VCN3000 V100R002C10SPC108

LogCenter

V100R001C10

 

Upgrade to V100R001C20SPC102

V100R001C20

 

V100R001C20SPC102

MT992-10

MV100R001C01B002

 

V100R001C01B019

OceanStor 18500

V100R001C10

 

Upgrade to V100R001C30SPC201

OceanStor 18800 V3

V300R003C00

 

Upgrade to V300R003C10SPC100

OceanStor 2860 V3

OceanStor 2860 V3 V300R001C00T

 

Upgrade to OceanStor 2800 V300R003C20

OceanStor 5600 V3

V300R001C00

 

Upgrade to  V300R003C10SPC100

OceanStor 5600 V3

V300R003C00

 

Upgrade to V300R003C10SPC100

OceanStor 5600 V3

V300R003C10

 

V300R003C10SPC100

OceanStor 5800 V3

V300R002C00

 

Upgrade to V300R003C10SPC100

OceanStor 9000

O  V100R001C01

 

Upgrade to V300R005C00SPC170

V100R001C30

 

OV300R005C00SPC170

OceanStor 9000E

OceanStor 9000E V100R001C01

 

Upgrade to OceanStor 9000 V300R005C00SPC170

OceanStor 9000E V100R002C00

 

OceanStor 9000E V100R002C19

 

OceanStor Backup  Software

V100R002C00

 

V100R002C00LHWS01SPC100

OceanStor BCManager

V100R005C00

 

Upgrade to V200R001C00

OceanStor CSE

OceanStor CSE V100R002C00LSFM01B010

 

Upgrade to OceanStor Onebox V100R002C00LSFM01SPC108

OceanStor HVS85T

OceanStor HVS85T V100R001C30

 

OceanStor 18500 V100R001C30SPC201

OceanStor HVS85T

OceanStor HVS85T V100R001C30

 

OceanStor 18500 V100R001C30SPC201

OceanStor N8500

V200R001C09

 

V200R001C09SPC506

V200R001C91

 

V200R001C91SPC902

Policy Center

Policy Center V100R003C00

 

Upgrade to Agile Controller-Campus V100R002C10SPC400 

Policy Center V100R003C10

 

Public Cloud Solution

Public Cloud Solution OpsTools 1.0.3

 

Public Cloud Solution 1.0.9

Public Cloud Solution V100R001C00

 

RH1288 V3

V100R003C00SPC100

 

V100R003C00SPC613

RH2285H V2

V100R002C00

 

V100R002C00SPC505

RH5885 V2

V100R001C00

 

Upgrade to V100R001C02SPC302

RH5885 V3

V100R003C00

 

Upgrade to V100R003C10SPC102

V100R003C01

 

Upgrade to V100R003C10SPC102

RH8100 V3

V100R003C00

 

V100R003C00SPC207

SoftVCN

V100R002C20

 

V100R002C20SPC100

peedport Hybrid

V100R001C01B021

 

Upgrade to V100R001C03B012

USG9560

USG9560 V300R001C20

 

Upgrade to USG9500 V500R001C30

USG9560 V300R002C00

 

Upgrade to USG9500 V500R001C30 

VCM

V100R001C10

 

V100R001C10SPC006

VCM5010

VCM5010 V100R002C20

 

Upgrade to VCM5020 V100R002C20

XH320

XH320 V100R001C00

 

Upgrade to Tecal X6000 V100R001C02

XH620

XH620 V100R001C00

 

Upgrade to XH620 V3 V100R003C00


 
HiSTBAndroid
 
HiSTBAndroid

CVE-2016-2108:

远程攻击者可利用此漏洞执行任意代码或造成拒绝服务。

CVE-2016-2107:

攻击者可利用此漏洞获取敏感信息。

CVE-2016-2106:

远程攻击者可利用此漏洞执行任意代码或造成拒绝服务。

CVE-2016-2105:

远程攻击者可利用此漏洞执行任意代码或造成拒绝服务。

CVE-2016-2109:

远程攻击者可利用此漏洞造成拒绝服务。

CVE-2016-2176:

攻击者可利用此漏洞获取敏感信息。

漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/

CVE-2016-2108:

基础得分: 7.6(AV:N/AC:H/Au:N/C:C/I:C/A:C)

临时得分: 6.3 (E:F/RL:O/RC:C)

CVE-2016-2107:

基础得分:5.4(AV:N/AC:H/Au:N/C:C/I:N/A:N)

临时得分: 4.5 (E:F/RL:O/RC:C)

CVE-2016-2106:

基础得分: 5.1(AV:N/AC:H/Au:N/C:P/I:P/A:P)

临时得分:4.2 (E:F/RL:O/RC:C)

CVE-2016-2105:

基础得分: 5.1(AV:N/AC:H/Au:N/C:P/I:P/A:P)

临时得分:4.2 (E:F/RL:O/RC:C)

CVE-2016-2109:

基础得分: 4.3(AV:N/AC:M/Au:N/C:N/I:N/A:P)

临时得分: 3.6(E:F/RL:O/RC:C)

CVE-2016-2176:

基础得分: 5.8(AV:N/AC:M/Au:N/C:P/I:N/A:P)

临时得分: 4.8 (E:F/RL:O/RC:C)

用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。

TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities



该漏洞是由OpenSSL官网发布。

2022-01-10 V1.4 UPDATED 更新受影响产品版本信息和修复版本信息

2017-01-11 V1.3 UPDATED 更新受影响产品版本信息和修复版本信息
2016-12-27 V1.2 UPDATED 更新受影响产品版本信息和修复版本信息
2016-08-03 V1.1 UPDATED 更新受影响产品版本信息和修复版本信息
2016-07-06 V1.0 INITIAL

华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。

获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities

本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。