安全预警-UTPS后台软件的缓冲区溢出

产品型号     后台版本号
E173u-1   UTPS11.302.09.06.162
E153u-1   UTPS11.302.09.05.162
E1550      UTPS11.302.09.01.162
E1550      UTPS11.302.09.05.162
E1550      UTPS11.302.09.01.162
E1750      UTPS11.302.09.03.162
E1690      UTPS11.302.09.02.162
E220        UTPS11.002.03.09.162
E220        UTPS11.002.03.03.162
E630        UTPS11.002.03.04.162
E5830      UTPS16.002.10.04.04
E1550      UTPS16.002.10.02.04
E180        UTPS11.300.05.01.04
E180        UTPS11.300.05.02.04
E169        UTPS11.002.04.03.04
E156G      UTPS11.300.05.02.04
EC122      UTPS16.001.05.06.649

此安全漏洞可能被恶意用户利用来执行指定的程序。

The vulnerability classification has been performed by using the CVSSv2 scoring system

(http://www.first.org/cvss/).

CVSS v2 Base Score:6.9  (AV:L/AC:M/Au:N/C:C/I:C/A:C) 

CVSS v2 Temporal Score: 6.2 (E:F/RL:W/RC:C) 

规避方案：

Windows用户可以自行升级操作系统到Windows XP sp3或者到我司网站下载UTPS2.0后台软件来解决此安全漏洞。

1、如果是Windows XP sp1的用户，可登陆微软官方网站安装Windows XP sp3 补丁。

产品型号    后台版本号                解决问题版本号                                          解决时间
E173u-1 UTPS11.302.09.06.162 UTPS21.005.22.00.162_MAC21.005.22.01.162 2012-9-22
E153u-1 UTPS11.302.09.05.162 UTPS21.005.15.06.162_MAC21.005.15.01.162 2012-9-22

用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。

TAC的联系方式见链接： http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.

这个漏洞由来自Inj3ct0r TEAM的Dark-Puzzle发现。链接：http://packetstormsecurity.org/files/download/116604/huawei-overflow.txt.

The Huawei PSIRT is not aware of any malicious use launch to attack through the vulnerability described in this advisory.

对于华为产品和解决方案的安全问题，请通过PSIRT@huawei.com联系华为PSIRT。

对于通用的华为产品和解决方案的问题，直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助

2012-9-22 V1.0 INITIAL

问题1：如何判断我用的是1.0版本还是2.0版本？
答：选择菜单“Help”-->“About XXX”，“XXX”为软件名称，在弹出的界面中查看右上方软件版本号“Software Name 16.002.37.00.03”,版本号以 “1”开头的即可能存在安全风险；

问题2：我的数据卡是最近买的，型号与前面提到的不一样，是否有同样漏洞？
答：参考上面方法检查是否1.0版本，若是则有漏洞。

如果您要反馈华为产品的漏洞信息、获取华为公司安全应急响应服务及获取华为产品漏洞信息，请通过以下链接获取帮助：

http://www.huawei.com/cn/security/psirt。