华为注意到Recurity Lab在第20届Def Con大会上发布了有关华为AR18/28安全漏洞的信息,华为第一时间启动了分析,同时和Recurity Lab取得联系。
华为高度重视此网络安全漏洞,除AR18/28外,还对AR19/29/49、AR46、AR G3(AR 200/1200/2200/3200)全系列产品进行了排查。同时,也对可能使用HTTP管理接口的全系列交换机进行了排查。
1、目前已经确认AR18/28/46/19/29/49和S20/30/35/39/51/56/78/85这些华为OEM的产品中存在HTTP管理接口安全漏洞,华为已针对这些安全漏洞提供了规避措施,参见安全通告(SA号为Huawei-SA-20120808-01-HTTP-Module、Huawei-SA-20120808-02-HTTP-Module、Huawei-SA-20120808-03-HTTP-Module)。华为自研的AR G3系列路由器和S23/33/53/63/93/27/37/57/67/77/97系列交换机,以及OEM的S65系列交换机均未发现这些安全漏洞。
2、针对Recurity Lab反馈的AR18/28其他安全建议,已经和OEM原厂商及安全研究机构取得联系,正在协同研究,范围还包括AR46、AR19/29/49及OEM交换机产品。华为公司已经对自研的AR G3系列路由器和S23/33/53/63/93/27/37/57/67/77/97系列交换机进行了全面分析,尚未发现相关安全漏洞。
华为建立了产品安全漏洞响应处理机制,对于所有确认的安全风险,华为会立即和客户制定应急方案,并尽最大努力在最短时间内修复安全漏洞。如有发现华为产品安全漏洞,可以直接报告给华为PSIRT邮箱:psirt@huawei.com。华为产品的用户在维护合同期内,可以通过现有的技术服务渠道寻求产品安全漏洞的修复支持。
华为企业网络产品线
二○一二年八月九日