華為部分產品曝弱加密算法漏洞 成功利用可能導致信息泄露
本周二,華為在一份編號為“huawei-sa-20180703-01-algorithm”的安全通報中指出,某些華為產品存在一個弱加密算法漏洞,成功利用可能會導致信息泄露。 根據通報的描述,這個漏洞于去年年底被發現。漏洞編號為HWPSIRT-2017-12135,并且已經獲得了CVE漏洞編號——CNNVD-201712-931(CVE-2017-17174)。CVSSv3評分5.3,屬于一個中等風險漏洞,這來源于它的成功利用并不容易實現。 華為解釋說,要利用此漏洞,遠程未經身份驗證的攻擊者必須捕獲客戶端與受影響產品之間的TLS流量。攻擊者可能會對RSA密鑰交換啟動Bleichenbacher攻擊,以通過某些密碼分析操作解密會話密鑰和先前捕獲的會話。當然,成功的利用便會導致在上述中提到的信息泄露。 從上面的解釋我們可以看出,受此漏洞影響的是那些使用RSA作為TLS密碼模式下的密鑰交換算法的產品。華為提供的受影響產品和版本的具體列表如下: 全高清視頻會議錄播服務器RSE6500,版本V500R002C00 IP語音綜合交換機SoftCo,版本V200R003C20SPCb00 全適配視頻會議多點控制單元VP9660,版本V600R006C10 eSpaceU1981統一網關,版本V100R001C20、V200R003C20、V200R003C30和V200R003C50 對于RSE6500而言,漏洞已經在版本V500R002C00SPCb00中修復;對于SoftCo用戶來說,可以升級到版本V200R003C50SPC300來解決潛在安全隱患;VP9660中的漏洞也已經在版本V600R006C10SPC300中修復;對于eSpaceU1981,則需要升級到版本V200R003C50SPC300。 來源:黑客視界
