安全预警-华为VSM产品预置用户组操作权限提升
- 预警编号:Huawei-SA-20130403-01-VSM
- 初始发布时间: 2013年04月03日
- 更新发布时间: 2013年04月20日
VSM(Versatile Security Manager)是华为面向运营商与行业用户推出的统一安全业务管理系统。
当前产品存在以下漏洞:
VSM系统中某个用户修改预置用户组权限信息时,缺乏合理的校验方式,导致用户组权限信息被修改,造成用户组操作权限提升(漏洞编号: HWNSIRT-2013-0302)。
目前该漏洞已在VSM正式发布版本中被修复。
1. 受影响版本:
Seco VSM V200R002C00
Seco VSM V200R002C00SPC100
Seco VSM V200R002C00SPC200
2. 不受影响版本:
Seco VSM V100R001
Seco VSM V100R003
Seco VSM V200R002C00SPC300及以后版本
此安全漏洞被利用后,可能导致VSM预置用户组的操作权限提升,对系统进行非法操作。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:9.0 (AV:N/AC:L/Au:S/C: C /I: C /A: C)
临时得分:7.5 (E:F/RL:O/RC:C)
总分:7.5
1. 前提条件:
l 攻击者可以访问VSM系统;
l 攻击者拥有VSM系统账号及密码。
2. 攻击步骤:
系统中任一预置用户登录VSM后,可以在无需授权的情况下通过修改参数的方式修改预置用户组的操作权限,造成被修改用户组的操作权限提升。
无
解决方案:
优化VSM系统现有的权限控制策略,避免非授权操作。
升级版本信息和升级日期:
VSM V200R002C00SPC300 2013-02-02
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
VSM V200R002C00SPC300获取路径:
http://support.huawei.com/enterprise/softdownload.action?idAbsPath=fixnode01|7919710|9856717|7923123|9858904|8577742&pid=8577742&vrc=8616279|8616281|8616284|9470142&show=showVDetail&tab=bz&bz_vr=8616281&bz_vrc=&nbz_vr=null
该漏洞由华为内部测试发现。华为PSIRT目前并未了解到有其他公共渠道对本文中提到的漏洞进行发布,以及漏洞被恶意利用的情况。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2013-04-03 V1.0 INITIAL
2013-04-20 V1.1 UPDATED 更新CVSS打分
无
