安全预警-华为Quidway交换机SPU单板防火墙模块信息泄露漏洞
- 预警编号:Huawei-SA-20130516-01-SPU
- 初始发布时间: 2013年05月16日
- 更新发布时间: 2013年07月19日
交换机SPU(增值业务板)提供负载均衡、防火墙、NAT、IPSec、NetStream等网络应用场景中的业务功能需求,主要应用于行业网或运营商客户,提供园区、专网网络安全和园区、专网间网络互联的解决方案。
当前产品存在以下漏洞:
当SPU单板工作在某种特定的工作模式下,由于系统处理不当,有可能会引起低优先级区域的用户可以访问高优先级区域的数据,造成信息泄露(漏洞编号: HWNSIRT-2013-0317)。
目前该漏洞已在Quidway交换机正式发布版本中修复。
1. 受影响版本:
|
产品名称 |
版本号 |
|
Quidway S7700 SPU |
V200R001C00SPC300 |
|
Quidway S9300 SPU |
V200R001C00SPC300 |
|
Quidway S9700 SPU |
V200R001C00SPC300 |
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:4.9 (AV:N/AC:M/Au:S/C:P/I:N/A:P)
临时得分:4.1 (E:F/RL:O/RC:C)
总分:4.1
- 前提条件:
用户为交换机安全域内合法用户;
交换机工作于特定的模式下且域内启用系统默认配置。
2. 攻击步骤:
系统中低优先级区域的用户可以访问高优先级区域内的服务器。
修改防火墙低优先级与高优先级安全区域的包过滤默认配置,具体请参考《配置管理指南》。举例如下:
- 首先配置ACL规则:
[SPU]acl number 2000
[SPU-acl-basic-2000]rule 10 deny
[SPU-acl-basic-2000]quit
- 应用ACL规则,假设设备上已经根据不同的访问权限配置了对应的安全域分别为trust和untrust:
[SPU]firewall interzone trust untrust
[SPU-interzone-trust-untrust]firewall enable
[SPU-interzone-trust-untrust]packet-filter 2000 outbound
[SPU-interzone-trust-untrust]packet-filter 2000 inbound
[SPU-interzone-trust-untrust]quit
解决方案:
修改系统安全区域间的访问处理方式。
升级版本信息和升级日期:
|
产品名称 |
版本号 |
SPU补丁版本号 |
补丁日期 |
|
Quidway S7700 SPU |
V200R001C00SPC300 |
VASP-V200R001SPH003及 以后的补丁 |
2012-12-31 |
|
Quidway S9300 SPU |
V200R001C00SPC300 |
VASP-V200R001SPH003及 以后的补丁 |
2012-12-31 |
|
Quidway S9700 SPU |
V200R001C00SPC300 |
VASP-V200R001SPH003及 以后的补丁 |
2012-12-31 |
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为内部测试发现。华为PSIRT目前并未了解到有其他公共渠道对本文中提到的漏洞进行发布,以及漏洞被恶意利用的情况。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2013-05-16 V1.0 INITIAL
2013-07-19 V1.1 UPDATED 更新软件版本显示格式
无
