本周二，华为在一份编号为“huawei-sa-20180703-01-algorithm”的安全通报中指出，某些华为产品存在一个弱加密算法漏洞，成功利用可能会导致信息泄露。

根据通报的描述，这个漏洞于去年年底被发现。漏洞编号为HWPSIRT-2017-12135，并且已经获得了CVE漏洞编号——CVE-2017-17174。CVSSv3评分5.3，属于一个中等风险漏洞，这来源于它的成功利用并不容易实现。

华为解释说，要利用此漏洞，远程未经身份验证的攻击者必须捕获客户端与受影响产品之间的TLS流量。攻击者可能会对RSA密钥交换启动Bleichenbacher攻击，以通过某些密码分析操作解密会话密钥和先前捕获的会话。当然，成功的利用便会导致在上述中提到的信息泄露。

从上面的解释我们可以看出，受此漏洞影响的是那些使用RSA作为TLS密码模式下的密钥交换算法的产品。华为提供的受影响产品和版本的具体列表如下：

• 全高清视频会议录播服务器RSE6500，版本V500R002C00

• IP语音综合交换机SoftCo，版本V200R003C20SPCb00

• 全适配视频会议多点控制单元VP9660，版本V600R006C10

• eSpaceU1981统一网关，版本V100R001C20、V200R003C20、V200R003C30和V200R003C50

对于RSE6500而言，漏洞已经在版本V500R002C00SPCb00中修复；对于SoftCo用户来说，可以升级到版本V200R003C50SPC300来解决潜在安全隐患；VP9660中的漏洞也已经在版本V600R006C10SPC300中修复；对于eSpaceU1981，则需要升级到版本V200R003C50SPC300。