安全通告 - 涉及华为某些产品的Apache log4j2远程代码执行漏洞
- 预警编号:huawei-sa-20211215-01-log4j
- 初始发布时间: 2021年12月15日
- 更新发布时间: 2022年01月20日
华为的某些产品受Apache Log4j2远程代码执行漏洞的影响。该漏洞是由于Apache Log4j2某些功能存在递归解析错误导致的,攻击者可构造恶意请求控制日志参数,触发远程代码执行漏洞。 (漏洞编号:HWPSIRT-2021-28415和HWPSIRT-2021-94301)
对应漏洞的CVE 编号为: CVE-2021-45046和CVE-2021-44228。
针对已经发布了修复版本的产品,华为会发布并持续更新此安全通告:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20211215-01-log4j-cn
|
产品名称 |
受影响版本号 |
修复版本号 |
|
SMSGW |
V100R001C01 |
V100R001C01LG8001SPC002 |
|
V100R002C11 |
V100R002C11LG8007SPC002 |
|
|
V100R003C01 |
V100R003C01LG8016 |
|
|
Agile Controller-Campus |
V100R003C60SPC202 |
V100R003C60SPC216 |
|
V100R003C60SPC205 |
||
|
V100R003C60SPC206 |
||
|
V100R003C60SPC207 |
||
|
V100R003C60SPC208 |
||
|
V100R003C60SPC209 |
||
|
V100R003C60SPC210 |
||
|
V100R003C60SPC211 |
||
|
V100R003C60SPC212 |
||
|
V100R003C60SPC213 |
||
|
FusionCompute |
6.5.0 |
6.5.1.HP8 |
|
6.5.1 |
||
|
8.0.0 |
8.0.1.HP3 |
|
|
8.0.1 |
||
|
8.0.RC2 |
||
|
8.0.RC3 |
||
|
8.1.0 |
Fusioncompute 8.1.1.1 |
|
|
8.1.1 |
||
|
8.1.RC1 |
||
|
FusionCube |
6.0.0 |
6.0.5.SPC102 |
|
6.0.1 |
||
|
6.0.2 |
FusionCube 1000C 8.0.0.CP1 |
|
|
6.0.3 |
||
|
6.0.5 |
6.0.5.SPC102 |
|
|
6.0.RC1 |
FusionCube 1000C 8.0.0.CP1 |
|
|
6.0.RC2 |
||
|
6.0.RC3 |
6.0.5.SPC102 |
|
|
6.0.RC5 |
FusionCube 1000C 8.0.0.CP1 |
|
|
FusionStorage OBS |
7.0.0 |
OceanStor Pacific 9520 8.1.1.SPH2 |
|
7.0.1 |
||
|
GaussDB 200 |
6 |
GaussDB A 8.0.0.SP8 |
|
ManageOne |
8.0.0 |
8.0.3.CP0033 |
|
8.0.1 |
||
|
8.0.2 |
||
|
8.0.3 |
||
|
8.1.0 |
||
|
NFV_FusionSphere |
21.3.0 |
21.3.0.SPH1 |
|
6.5.1 |
6.5.1.SPH35 |
|
|
8.0.0 |
8.0.0.SPC25 |
|
|
V100R006C50SPC105 |
V100R006C50SPC225 |
|
|
V100R006C50SPC109 |
||
|
V100R006C50SPC212 |
||
|
V100R006C50SPC219 |
||
|
V100R006C50SPC220 |
||
|
V100R006C50SPH211 |
||
|
OceanStor 6800 V3 |
V300R006C60 |
V300R006C60SPC001 |
|
OceanStor 9000 |
V300R006C20 |
OceanStor 9000 V5 7.1.1.SPH109 |
|
SMC2.0 |
V500R002C00SPC900 |
V600R019C10SPC954 |
|
V600R006C00 |
||
|
V600R006C10 |
||
|
V600R019C00 |
||
|
V600R019C10 |
||
|
SoftCo |
V200R003C50SPC500 |
V200R003C50SPC905 |
|
V200R003C50SPC600 |
||
|
V200R003C50SPC700 |
||
|
V200R003C50SPC800 |
||
|
V200R003C50SPC900 |
||
|
eAPP610 |
V100R006C00 |
V100R006C00SPC400 |
|
eCNS280[1] |
V100R005C10SPC200 |
V100R005C10SPC803 |
|
V100R005C10SPC210 |
||
|
V100R005C10SPC300 |
||
|
V100R005C10SPC310 |
||
|
V100R005C10SPC500 |
||
|
V100R005C10SPC506 |
||
|
V100R005C10SPC516 |
||
|
V100R005C10SPC800 |
||
|
V100R005C10SPC801 |
||
|
V100R005C10SPC802 |
||
|
eCNS290[1] |
V100R005C30SPC200 |
V100R005C30SPC205 |
|
V100R005C30SPC201 |
||
|
V100R005C30SPC202 |
||
|
eLog |
V200R007C10 |
V200R007C10SPC203 |
|
eSE620X vESS[1] |
V100R001C10SPC200 |
V200R001C00SPC361 |
|
V100R001C20SPC300 |
||
|
V200R001C00SPC360 |
||
|
eSpace ECS |
V300R001C00SPC200 |
V300R001C00SPC223 |
|
V300R001C00SPC201 |
||
|
V300R001C00SPC202 |
||
|
V300R001C00SPC203 |
||
|
V300R001C00SPC205 |
||
|
V300R001C00SPC206 |
||
|
V300R001C00SPC207 |
||
|
V300R001C00SPC208 |
||
|
V300R001C00SPC209 |
||
|
V300R001C00SPC210 |
||
|
V300R001C00SPC211 |
||
|
V300R001C00SPC212 |
||
|
V300R001C00SPC213 |
||
|
V300R001C00SPC215 |
||
|
V300R001C00SPC216 |
||
|
V300R001C00SPC217 |
||
|
V300R001C00SPC218 |
||
|
V300R001C00SPC219 |
||
|
V300R001C00SPC220 |
||
|
V300R001C00SPC221 |
||
|
V300R001C00SPC222 |
||
|
eSpace U1910 |
V200R003C50SPC500 |
V200R003C50SPC905 |
|
V200R003C50SPC600 |
||
|
V200R003C50SPC700 |
||
|
V200R003C50SPC800 |
||
|
V200R003C50SPC900 |
||
|
eSpace U1911 |
V200R003C50SPC500 |
V200R003C50SPC905 |
|
V200R003C50SPC600 |
||
|
V200R003C50SPC700 |
||
|
V200R003C50SPC800 |
||
|
V200R003C50SPC900 |
||
|
eSpace U1930 |
V200R003C50SPC500 |
V200R003C50SPC905 |
|
V200R003C50SPC600 |
||
|
V200R003C50SPC700 |
||
|
V200R003C50SPC800 |
||
|
V200R003C50SPC900 |
||
|
eSpace U1960 |
V200R003C50SPC500 |
V200R003C50SPC905 |
|
V200R003C50SPC600 |
||
|
V200R003C50SPC700 |
||
|
V200R003C50SPC800 |
||
|
V200R003C50SPC900 |
||
|
eSpace U1980 |
V200R003C50SPC500 |
V200R003C50SPC905 |
|
V200R003C50SPC600 |
||
|
V200R003C50SPC700 |
||
|
V200R003C50SPC800 |
||
|
V200R003C50SPC900 |
||
|
eSpace U1981 |
V200R003C50 |
V200R003C50SPC905 |
|
iManager NetEco |
V600R009C10 |
V600R010C00CP5303 |
|
V600R010C00 |
||
|
iManager NetEco 6000 |
V600R008C00 |
V600R008C10CP5902 |
|
V600R008C10 |
||
|
V600R009C00 |
V600R009C00CP2601 |
|
|
V600R021C00 |
iMaster NetEco V600R021C10CP3301 |
|
|
V600R021C10 |
||
|
iMaster MAE-M |
V100R020C10 |
iMaster MAE V100R020C10CP2309 |
|
V100R021C10 |
iMaster MAE V100R021C10CP2703 |
|
|
V100R022C00 |
iMaster MAE V100R022C00CP2101 |
注释
[1] 受影响的软件为核心网配套LMT工具,仅影响安装LMT工具的PC,核心网产品软件不受影响。
攻击者可构造恶意请求控制日志参数,触发远程代码执行漏洞。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
HWPSIRT-2021-28415:
基础得分:9.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
临时得分:8.3 (E:F/RL:O/RC:C)
HWPSIRT-2021-94301:
基础得分:10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
临时得分:9.3 (E:F/RL:O/RC:C)
利用漏洞发起攻击的预置条件:
攻击者可以访问目标系统。
漏洞详细描述:
该漏洞是由于Apache Log4j2某些功能存在递归解析错误导致的,攻击者可构造恶意请求控制日志参数,触发远程代码执行漏洞。
无
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities。
该漏洞是由外部公开披露。
2022-01-20 V1.7 UPDATED 刷新受影响产品版本和修复信息;
2022-01-14 V1.6 UPDATED 刷新受影响产品版本和修复信息;
2022-01-14 V1.5 UPDATED 刷新受影响产品版本和修复信息;
2022-01-12 V1.4 UPDATED 刷新受影响产品版本和修复信息;
2021-12-28 V1.3 UPDATED 刷新受影响产品版本和修复信息;
2021-12-24 V1.2 UPDATED 刷新受影响产品版本和修复信息,刷新漏洞概述;
2021-12-24 V1.1 UPDATED 刷新受影响产品版本和修复信息;
2021-12-15 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。
