华为发布高危漏洞补丁,三大产品线20款服务器型号需要升级!
华为本周发布安全公告称,其20款服务器面临4个高危漏洞威胁。发布的修补程序适用于每个错误,包括身份验证绕过漏洞,特权升级漏洞和两个JavaScript Object Notation(JSON)注入漏洞。
受影响的服务器包括华为XH,RH和CH产品线。其中两个服务器漏洞与智能底板管理控制器(iBMC)服务器组件有关,该组件是一种运行在专用华为芯片组上的管理和控制工具。
安全公告指出,“由于输入验证不足,某些华为服务器的iBMC有两个JSON注入漏洞。经过身份验证的远程攻击者可以启动JSON注入来修改管理员的密码。成功的攻击可能会让攻击者获得系统的管理权限。
在上周,华为修复了另外三个严重级别较高的JSON注入漏洞(CVE-2018-7902,CVE-2018-7903和CVE-2018-7904)。
安全公告称,第二个与iBMC相关的bug是一个特权升级漏洞,它可能允许远程攻击者发送特制登录消息给易受攻击的服务器,并通过更改密码来锁定用户。由于认证设计不当,成功利用漏洞使低权限用户能够获得或修改高特权用户的密码。”
本周的iBMC问题与华为就同一组件报告的类似问题相吻合。上周,华为报告连接到iBMC的中等严重性认证旁路漏洞(CVE-2018-7942)。同样,在5月9日和5月16日,华为发布了针对与iBMC相关的不当授权错误(CVE-2018-7941和CVE-2017-17323)的修补程序。
华为指出,身份认证绕过漏洞可能允许具有较低权限的远程攻击者“绕过一些特殊操作的身份验证”并访问“敏感信息”并获得较高级别的用户权限。