安全预警-华为eSpace Meeting用户权限设定不合理的安全漏洞
- 预警编号:Huawei-SA-20140310-01
- 初始发布时间: 2014年03月10日
- 更新发布时间: 2014年10月08日
华为eSpace Meeting产品的用户权限设置不合理。获取普通用户权限的攻击者,可以通过特定的操作,提升权限并访问和设置某些关键资源 (HWPSIRT-2014-0241)。
此漏洞的CVE编号为:CVE-2014-3222。
1. 涉及版本:
|
eSpace Meeting系列产品 |
|
|
eSpace Meeting |
V100R001C03SPC201以及之前的版本 |
攻击者能提升权限,访问和设置某些关键资源。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:6.2 (AV:L/AC:M/Au:S/C:C/I:C/A:P)
临时得分:4.9 (E:P/RL:O/RC:C)
1. 前提条件:
攻击者获取普通用户权限,并能够访问eSpace Meeting的安装目录
2. 攻击步骤:
攻击者以普通用户权限执行特定攻击手段,可以篡改系统状态,从而提升权限。
暂无
解决方案:
限制普通用户的权限。
升级版本信息和升级日期:
|
产品名称 |
解决版本 |
版本时间 |
|
eSpace Meeting |
V100R001C03SPC202 |
已发布 |
用户可以通过华为TAC (Huawei Technical Assistance Center) 或华为网站(http://support.huawei.com/enterprise/)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由Gjoko Krstic (gjoko@zeroscience.mk)发现。华为应急响应团队并没有知悉该公告所描述的对该漏洞的任何公开声明或者恶意使用。
在此,华为公司对 Gjoko Krstic对华为公司产品的关注表示感谢。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2014-10-08 V1.2 UPDATE 更新“漏洞来源及漏洞被利用情况”信息
2014-05-12 V1.1 UPDATE 增加CVE ID
2014-03-10 V1.0 INITIAL
无
