安全预警-涉及华为多个产品的Apache Struts2漏洞
- 预警编号:Huawei-SA-20140707-01-Struts2
- 初始发布时间: 2014年07月07日
- 更新发布时间: 2014年07月08日
华为产品所使用的某些版本的Apache Struts2软件存在安全漏洞。该软件发布的用于修复编号为CVE-2014-0050和CVE-2014-0094的两个安全漏洞的补丁存在被绕过的风险。(漏洞编号:HWPSIRT-2014-0420)。
此漏洞的CVE编号为:CVE-2014-0116。
通过利用漏洞,攻击者可以绕过修复补丁,造成文件泄漏或拒绝服务,在特定情况下可造成远程执行任意命令。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:5.8 (AV:N/AC:M/Au:N/C:N/I:P/A:P)
临时得分:4.8 (E:F/RL:O/RC:C)
详细的技术细节请参考Apache Struts2官网发布的安全通告:
无
升级版本信息和版本状态:
|
产品名称 |
受影响的版本 |
修复版本 |
|
AnyOffice |
V200R002C10SPC500 |
V200R002C10L00422 |
|
eSpace Meeting Portal |
V100R001C00 |
V100R001C00SPC303 |
|
Eudemon8000E-X3/ X8/ X16 |
V200R001C00 |
AntiDDoS 8000 V100R001C00SPH503 |
|
AntiDDoS 8030/ 8060/ 8080 AntiDDoS 1520/ 1550/ 500-D |
V100R001C00 |
用户可以通过华为TAC (Huawei Technical Assistance Center) 或华为网站(http://support.huawei.com/support/)补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由Apache Struts2维护团队公布。华为应急响应团队并没有知悉该公告所描述的对该漏洞的任何公开声明或者恶意使用。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2014-07-08 V1.1 UPDATED刷新版本修复信息
2014-07-07 V1.0 INITIAL
无
本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。
