華為部分產品曝弱加密演算法漏洞 成功利用可能導致信息泄露

「用指尖改變世界」

本周二，華為在一份編號為「huawei-sa-20180703-01-algorithm」的安全通報中指出，某些華為產品存在一個弱加密演算法漏洞，成功利用可能會導致信息泄露。

根據通報的描述，這個漏洞於去年年底被發現。漏洞編號為HWPSIRT-2017-12135，並且已經獲得了CVE漏洞編號——CVE-2017-17174。CVSSv3評分5.3，屬於一個中等風險漏洞，這來源於它的成功利用並不容易實現。

華為解釋說，要利用此漏洞，遠程未經身份驗證的攻擊者必須捕獲客戶端與受影響產品之間的TLS流量。攻擊者可能會對RSA密鑰交換啟動Bleichenbacher攻擊，以通過某些密碼分析操作解密會話密鑰和先前捕獲的會話。當然，成功的利用便會導致在上述中提到的信息泄露。

從上面的解釋我們可以看出，受此漏洞影響的是那些使用RSA作為TLS密碼模式下的密鑰交換演算法的產品。華為提供的受影響產品和版本的具體列表如下：

全高清視頻會議錄播伺服器RSE6500，版本V500R002C00

IP語音綜合交換機SoftCo，版本V200R003C20SPCb00

全適配視頻會議多點控制單元VP9660，版本V600R006C10

eSpaceU1981統一網關，版本V100R001C20、V200R003C20、V200R003C30和V200R003C50

對於RSE6500而言，漏洞已經在版本V500R002C00SPCb00中修復；對於SoftCo用戶來說，可以升級到版本V200R003C50SPC300來解決潛在安全隱患；VP9660中的漏洞也已經在版本V600R006C10SPC300中修復；對於eSpaceU1981，則需要升級到版本V200R003C50SPC300。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！