多款Huawei产品弱算法漏洞

CVE编号

CVE-2017-17174

利用情况

暂无

补丁情况

N/A

披露时间

2018-08-01
漏洞描述
Huawei eSpace U1981等都是中国华为(Huawei)公司的产品。eSpace U1981是一款语音网关产品。 VP9660是多媒体交换平台。

多款Huawei产品存在一个弱加密算法漏洞。利用漏洞,一个未经过认证的远程攻击者需要抓取客户端和服务端的TLS报文。由于在RSA密钥交换过程可能发起Bleichenbacher攻击,攻击者可以通过密码分析方法解密会话密钥以及前面抓取的会话。成功利用这个漏洞可能导致部分信息泄露。
解决建议
华为已发布版本修复该漏洞,安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20180703-01-algorithm-cn
参考链接
http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180703-01-algorithm-en
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 huawei espace_u1981_firmware v200r001c20 -
运行在以下环境
系统 huawei espace_u1981_firmware v200r003c20 -
运行在以下环境
系统 huawei espace_u1981_firmware v200r003c30 -
运行在以下环境
系统 huawei espace_u1981_firmware v200r003c50 -
运行在以下环境
系统 huawei rse6500_firmware v500r002c00 -
运行在以下环境
系统 huawei softco_firmware v200r003c20spcb00 -
运行在以下环境
系统 huawei vp9660_firmware v600r006c10 -
运行在以下环境
硬件 huawei espace_u1981 - -
运行在以下环境
硬件 huawei rse6500 - -
运行在以下环境
硬件 huawei softco - -
运行在以下环境
硬件 huawei vp9660 - -
CVSS3评分
5.9
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-ID 漏洞类型
阿里云安全产品覆盖情况