国产又粗又猛又大的视频在线播放_精品国产一区二区日韩91_日韩成人成色在线观看_日韩毛片一二三区_打扑克牌又疼又叫软件下载_欧美激情综合色综合啪啪五月_国产精品激情自拍系列_麻豆国产在线视频_fc2成人免费人成在线观看播放_那里可以免费看毛片

跳轉(zhuǎn)到主要內(nèi)容

關(guān)于華為/H3C部分設(shè)備存在HTTP管理漏洞的規(guī)避方法

故障描述

  AR 路由器:AR 18/28/46、AR 19/29/49(H3C型號為MSR20/30/50) 為中小企業(yè)的多業(yè)務(wù)路由器。AR 18/28/46支持BIMS管理。AR18-2X、AR18-3X和AR18-3XE同時還支持Web管理。AR 19/29/49(H3C型號為MSR20/30/50)僅支持Web管理。.
受影響版本:

  • AR 19/29/49 R2207 earlier versions(H3C型號為MSR20/30/50)
  • AR 28/46 R0311 and earlier versions
  • AR 18-3x R0118 and earlier versions
  • AR 18-2x R1712 and earlier versions
  • AR18-1x R0130 and earlier versions

  Huawei 交換機(jī):S2000系列、S3000系列、S3500系列、S3900系列(H3C為S3600)、S5100系列和S5600系列交換機(jī)支持WEB網(wǎng)管,開啟了HTTP服務(wù)。S7800系列交換機(jī)R6305及以后的版本支持WEB網(wǎng)管,開啟了HTTP服務(wù)。S8500(H3C為S9500)系列交換機(jī)不支持WEB網(wǎng)管,但在R1631P001和R1632(注1)版本中默認(rèn)打開了HTTP服務(wù)。
受影響版本:

  • S2000系列、S3000系列、S3500系列、S3900系列(H3C S3600)、S5100系列和S5600系列交換機(jī)所有版本
  • S7800系列交換機(jī)R6305和以后的版本
  • S8500系列交換機(jī)R1631P001版本(H3C S9500)
  • S8500系列交換機(jī)R1632版本(H3C 9500)
故障分析
  攻擊者利用此漏洞,可能使設(shè)備執(zhí)行攻擊者注入的任意命令。
處理過程
場景一:用戶使用設(shè)備時不使用WEB網(wǎng)頁進(jìn)行配置管理,且不使用BIMS(Branch Intelligent Management System)功能進(jìn)行遠(yuǎn)程配置。 規(guī)避方案:關(guān)閉HTTP端口 和BIMS服務(wù),具體配置如下: AR 18/28/46: [Quidway] ip http shutdown [Quidway] undo bims enable AR 19/29/49: [Quidway] undo ip http enable S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機(jī): [Quidway] ip http shutdown (注3) S7800系列交換機(jī): [Quidway] undo ip http enable 場景二:用戶使用WEB網(wǎng)頁對設(shè)備進(jìn)行配置管理或使用BIMS功能進(jìn)行遠(yuǎn)程配置。 規(guī)避方案:通過ACL控制HTTP建立的源IP地址,具體配置如下: AR 18/28/46: [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 AR 19/29/49: [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機(jī): [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 (注3) S7800系列交換機(jī): [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 場景三:設(shè)備不支持WEB網(wǎng)頁進(jìn)行配置管理,但HTTP服務(wù)端口是打開的。 規(guī)避方案:關(guān)閉HTTP服務(wù)端口,具體配置如下: S8500系列交換機(jī): [Quidway] ip http shutdown
建議/總結(jié)
  版本建議如下: AR 18/28/46 通過規(guī)避方案解決,暫不發(fā)布版本或補(bǔ)丁修復(fù)此漏洞; AR 19/29/49 通過規(guī)避方案解決,或者升級為AR 19/29/49 R2207或之后版本; S2000系列、S3000系列、S3500系列、S3900系列、S5100系列、S5600系列和S7800系列交換機(jī): 通過規(guī)避方案解決,暫不發(fā)布版本或補(bǔ)丁修復(fù)此漏洞; S8500系列交換機(jī): 通過規(guī)避方案解決,或是升級到R1640及以后的版本。
附件
就Recurity_Lab_披露華為AR_18_28安全漏洞說明函