安全预警-采用DES加密算法导致密码可能破解的预警
- 预警编号:Huawei-SA-20120827-01-CX600
- 初始发布时间: 2012年08月27日
- 更新发布时间: 2013年08月16日
漏洞问题概述:
华为多款产品支持用户口令采用DES算法加密(HWNSIRT-2012-0820),加密强度不足,存在被破解的可能性。
此漏洞的CVE编号为:CVE-2012-4960。
目前华为已经提供临时解决方案和版本计划。
1、 受影响版本:
|
产品名称 |
版本信息 |
|
NE5000E |
V300R007 |
|
V800R002 |
|
|
MA5200G |
V200R003 |
|
V300R003 |
|
|
NE40E/NE80E |
V300R003 |
|
V600R001 V600R002 V600R003(除 |
|
|
ATN |
V200R001C00, V200R001C01 |
|
NE40/NE80 |
V300R005 |
|
NE20E-X6 |
V600R003 |
|
NE20 |
V200R005 |
|
ME60 |
V100R005 V100R006 V600R002 V600R003 |
|
CX600 |
V200R002 V600R001 V600R002 V600R003 (除 |
|
CX200/CX300 |
V100R005 |
|
ACU |
V100R003C01SPC100 |
|
V200R001C00SPC100 |
|
|
V200R001C00 |
|
|
WLAN AC 6605 |
V200R001C00 |
|
V200R001C00SPC100 |
|
|
S9300 |
V100R001 V100R002 V100R003 V100R006 |
|
S7700 |
V100R003 V100R006 |
|
S2300/S3300/S5300 |
V100R002 V100R003 |
|
S2300/S3300/S5300/S2700/S |
V100R005 |
|
S2300/S3300/S5300/S3300HI |
V100R006C00 |
|
AR G3 |
V200R001C00 |
|
V200R001C01 |
|
|
V200R002C00SPC200 |
|
|
H3C AR(OEM IN) |
AR x9系列R2209之前版本有问题 |
|
AR 19/29/49 |
R2207 and earlier versions |
|
Eudemon100E |
V200R007 |
|
Eudemon200 |
V200R001 |
|
Eudemon300&500&1000 |
V200R006C02及之前版本 |
|
Eudemon1000E-U/USG5300 |
V200R001及之前版本 |
|
Eudemon1000E-X/USG5500 |
V200R002及之前版本 |
|
Eudemon8080E&8160E/USG9300 |
V100R003C00及之前版本 |
|
Eudemon8000E-X/USG9500 |
V200R001C00SPC600及之前版本 |
|
E200E-C&X3&X5&X7/USG2200&5100 |
V200R003C00及之前版本 |
|
E200E-B&X1&X2/USG2100 |
V100R005C01及之前版本 |
|
SVN5300 |
V100R001C01B019 |
|
SVN2000&5000系列 |
V200R001C00 |
|
SVN3000 |
V100R002C02SPC802B041 |
|
NIP100/200/1000 |
V100R001 |
|
NIP2100&2200&5100 |
V100R001C00 |
The vulnerability classification has been performed by using the CVSSv2 scoring system
(http://www.first.org/cvss/).
Base Score: 6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P)
Temporal Score: 5.6(E:F/RL:T/RC:C)
Prerequisite:
攻击者能够登陆到设备,并有权限获取口令密文。
Procedures:
攻击者获取加密保存的口令,破解DES算法,得到相应明文。
Impact:
攻击者获得口令明文。
1、加强设备远程访问控制策略的管理,仅限运营商管理网络内可以登录设备。
2、严格管理设备账户权限;
3、定期更换账户密码;
解决方案:
1、废弃DES算法,采用AES256算法。
升级版本信息和升级日期:
|
产品名称 |
解决版本 |
版本时间 |
|
NE5000E |
V800R003C00 |
2012.09.19 |
|
ATN |
V200R001C02 |
2012.08.20 |
|
NE40E&NE80E |
V600R003C00SPCA00 |
2012.09.15 |
|
CX600 |
V600R003C00SPCA00 V600R005C00 |
2012.09.15 |
|
ME60 |
V600R005C00 |
2012.09.15 |
|
AR 19/29/49 |
R2209 and later version |
2012.03.09 |
|
ACU |
V200R002 |
2012.08.31 |
|
WLAN AC 6605 |
V200R002 |
2012.08.31 |
|
S3300HI/S5300/S6300/S37 |
V200R001C00 |
2012.08.31 |
|
S9300/S9300E/S7700/S9700 |
V200R001C00 |
2012.08.31 |
|
S2300/S3300/S2700/S3700 |
V100R006C03 |
2012.08.31 |
|
AR G3 |
正式版本:V200R002C01SPC200 |
2012.08.31 |
|
H3C AR(OEM IN) |
AR x8系列无此问题;AR x9系列 |
2012.03.30 |
|
Eudemon100E |
E200E-X V300R001C00SPC600 |
2012.08.31 |
|
Eudemon200 |
||
|
Eudemon300&500&1000 |
||
|
Eudemon1000E-U/USG5300 |
Eudemon 1000E-X/USG5500 |
2012.08.31 |
|
Eudemon1000E-X/USG5500 |
||
|
Eudemon8080E&8160E/USG9300 |
Eudemon8000E |
2012.07.30 |
|
Eudemon8000E-X/USG9500 |
||
|
USG2200&5100 |
V300R001C00SPC600 |
2012.08.31 |
|
USG2100 |
V300R001C00SPC100 |
2012.08.31 |
|
SVN5300 |
SVN5500(产品替换) |
2012.02.28 |
|
SVN2000&5000系列 |
V200R001C01SPC200 |
2012.06.20 |
|
SVN3000 |
SVN2260 V200R001C01SPC200 |
2012.06.20 |
|
NIP100/200/1000 |
NIP5100/NIP2200/NIP2100 V100R001C01(产品替换) |
2012.07.30 |
|
NIP2100&2200&5100 |
V100R001C01SPC200 |
2012.07.30 |
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由Emaze Networks发现。华为应急响应团队并没有知悉该公告所描述的对该漏洞的任何公开声明或者恶意使用。
在此,华为公司对 Emaze Networks对华为公司产品的关注表示感谢。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2012-08-27 V1.0 INITIAL
2012-10-08 V1.1 Update
2012-11-07 V1.2 Update
2012-12-17 V1.3 Update
2013-8-16 V1.4 Update 更新了受影响列表
无
