多款华为OceanStor系列产品访问控制漏洞

CVE编号

CVE-2017-15352

利用情况

暂无

补丁情况

N/A

披露时间

2018-02-16

漏洞描述

华为OceanStor系列是基于融合理念，面向闪存优化设计的统一存储产品，满足云时代对存储系统更高性能、更低时延、更加弹性的要求。 多款华为OceanStor系列产品存在访问控制漏洞，该漏洞是由于设备未能正确控制对部分资源访问。攻击者利用该漏洞越权查看系统部分信息或者发送特殊报文导致服务异常。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：http://www.huawei.com/cn/psirt/security-advisories/2017/huawei-sa-20171122-01-oceanstor-cn

参考链接
http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20171122-01-oceanstor-en

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	huawei	oceanstor_2800_firmware	v300r003c00	-
	运行在以下环境
	系统	huawei	oceanstor_2800_firmware	v300r003c20	-
	运行在以下环境
	系统	huawei	oceanstor_5300_firmware	v300r003c00	-
	运行在以下环境
	系统	huawei	oceanstor_5300_firmware	v300r003c10	-
	运行在以下环境
	系统	huawei	oceanstor_5300_firmware	v300r003c20	-
	运行在以下环境
	系统	huawei	oceanstor_5500_firmware	v300r003c00	-
	运行在以下环境
	系统	huawei	oceanstor_5500_firmware	v300r003c10	-
	运行在以下环境
	系统	huawei	oceanstor_5500_firmware	v300r003c20	-
	运行在以下环境
	系统	huawei	oceanstor_5600_firmware	v300r003c00	-
	运行在以下环境
	系统	huawei	oceanstor_5600_firmware	v300r003c10	-
	运行在以下环境
	系统	huawei	oceanstor_5600_firmware	v300r003c20	-
	运行在以下环境
	系统	huawei	oceanstor_5800_firmware	v300r003c00	-
	运行在以下环境
	系统	huawei	oceanstor_5800_firmware	v300r003c10	-
	运行在以下环境
	系统	huawei	oceanstor_5800_firmware	v300r003c20	-
	运行在以下环境
	硬件	huawei	oceanstor_2800	-	-
	运行在以下环境
	硬件	huawei	oceanstor_5300	-	-
	运行在以下环境
	硬件	huawei	oceanstor_5500	-	-
	运行在以下环境
	硬件	huawei	oceanstor_5600	-	-
	运行在以下环境
	硬件	huawei	oceanstor_5800	-	-

CVSS3评分 3.1

• 攻击路径 相邻
• 攻击复杂度 高
• 权限要求 高
• 影响范围 未更改
• 用户交互 无
• 可用性 低
• 保密性 低
• 完整性 无

CVSS:3.0/AV:A/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:L

CWE-ID	漏洞类型
CWE-732	关键资源的不正确权限授予

Exp相关链接

- avd.aliyun.com