天创培训:您身边的信息安全培训专家!
开班计划
2018年8月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2018年8月28日-9月2日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
Web渗透测试(高级)开班通知
主讲老师   张老师、高老师等
开课时间   2018年8月16日-31日
培训方式   实地/面授
授课天次   16天
上课时间   09:00 -- 17:00
课程介绍 在线报名
Web渗透测试(中级)开班通知
主讲老师   张老师、王老师等
开课时间   2018年8月16日-22日
培训方式   实地/面授
授课天次   7天
上课时间   09:00 -- 17:00
课程介绍 在线报名
CISP-PTE渗透测试工程师开班
主讲老师   张老师、高老师等
开课时间   2018年8月23日-30日
培训方式   实地/面授
授课天次   8天
上课时间   09:00 -- 17:00
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

华为部分产品曝弱加密算法漏洞 成功利用可能导致信息泄露

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2018-07-06  关键词:信息泄露,加密算法漏洞

华为部分产品曝弱加密算法漏洞 成功利用可能导致信息泄露

本周二,华为在一份编号为“huawei-sa-20180703-01-algorithm”的安全通报中指出,某些华为产品存在一个弱加密算法漏洞,成功利用可能会导致信息泄露。

根据通报的描述,这个漏洞于去年年底被发现。漏洞编号为HWPSIRT-2017-12135,并且已经获得了CVE漏洞编号——CVE-2017-17174。CVSSv3评分5.3,属于一个中等风险漏洞,这来源于它的成功利用并不容易实现。

华为解释说,要利用此漏洞,远程未经身份验证的攻击者必须捕获客户端与受影响产品之间的TLS流量。攻击者可能会对RSA密钥交换启动Bleichenbacher攻击,以通过某些密码分析操作解密会话密钥和先前捕获的会话。当然,成功的利用便会导致在上述中提到的信息泄露。

从上面的解释我们可以看出,受此漏洞影响的是那些使用RSA作为TLS密码模式下的密钥交换算法的产品。华为提供的受影响产品和版本的具体列表如下:

  • 全高清视频会议录播服务器RSE6500,版本V500R002C00

  • IP语音综合交换机SoftCo,版本V200R003C20SPCb00

  • 全适配视频会议多点控制单元VP9660,版本V600R006C10

  • eSpaceU1981统一网关,版本V100R001C20、V200R003C20、V200R003C30和V200R003C50

对于RSE6500而言,漏洞已经在版本V500R002C00SPCb00中修复;对于SoftCo用户来说,可以升级到版本V200R003C50SPC300来解决潜在安全隐患;VP9660中的漏洞也已经在版本V600R006C10SPC300中修复;对于eSpaceU1981,则需要升级到版本V200R003C50SPC300。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000