安全预警- 多款Quidway交换机产品存在不正确的输入校验漏洞
- 预警编号:Huawei-SA-20140423-01-Quidway
- 初始发布时间: 2014年04月23日
- 更新发布时间: 2014年05月13日
华为研发工程师发现多款Quidway交换机产品存在不正确的输入校验漏洞,这使得攻击者可能通过发送畸形报文的方式对存在所述漏洞的设备实施DOS攻击(漏洞编号:HWPSIRT-2014-0301)。
此漏洞的CVE编号为:CVE-2014-3224。
|
产品 |
受影响版本 |
|
Quidway S9700 |
V200R003C00SPC500 |
|
Quidway S9300 |
V200R003C00SPC500 |
|
Quidway S7700 |
V200R003C00SPC500 |
|
Quidway S6700 |
V200R003C00SPC300 |
|
Quidway S6300 |
V200R003C00SPC300 |
|
Quidway S5700 |
V200R003C00SPC300 |
|
Quidway S5300 |
V200R003C00SPC300 |
利用此漏洞,可能导致系统过多的资源(如内存)消耗,严重时,甚至可能造成设备重启。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C)
临时得分:6.1 (E:P/RL:O/RC:C)
1.前提条件
1)与存在漏洞的设备建立IP连接;
2)该设备处于客户端。
1. 攻击步骤
精心制作并发送畸形报文
无
|
产品 |
解决版本 |
解决状态 |
|
Quidway S9700 |
V200R003SPH005 |
已发布 |
|
Quidway S9300 |
V200R003SPH005 |
已发布 |
|
Quidway S7700 |
V200R003SPH005 |
已发布 |
|
Quidway S6700 |
V200R003SPH005 |
已发布 |
|
Quidway S6300 |
V200R003SPH005 |
已发布 |
|
Quidway S5700 |
V200R003SPH005 |
已发布 |
|
Quidway S5300 |
V200R003SPH005 |
已发布 |
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由华为内部测试人员发现并上报。
华为应急响应团队PSIRT当前并没有知悉该公告所描述的对该漏洞的任何公开声明或者恶意使用。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2014-05-13 V1.1 FINAL
2014-04-23 V1.0 INITIAL
无
