AR 路(lù)由器(qì):AR 18/28/46、¥←≠<AR 19/29/49(H3C型号為(wèi)MSR20/30/5£β0) 為(wèi)中小(xiǎo)企業(yè)的(de)多(duō)業✘"(yè)務路(lù)由器(qì)。AR 18/28/46支持BIMS管理&¥§(lǐ)。AR18-2X、AR18-3X和(hé)AR18-3XE同時±®ε&(shí)還(hái)支持Web管理(lǐ)↓。AR 19/29/49(H3C型号為(wèi)≥≠φMSR20/30/50)僅支持Web管理(lǐ)。.
受影(yǐng)響版本:
- AR 19/29/49 R2207 earlier versioπ'∞ns(H3C型号為(wèi)MSR20/30/50)
- AR 28/46 R0311 and earlier verۥsions
- AR 18-3x R0118 and earl↕δ'ier versions
- AR 18-2x R1712 and earlier ver≤ σ÷sions
- AR18-1x R0130 and earlier←§ versions
Huawei 交換機(jī):S2000系>₽'列、S3000系列、S3500系列、S3900系列(H3C為(wèi)S3∞' 600)、S5100系列和(hé)S5600系列交♠±φ↓換機(jī)支持WEB網管,開(kāi)♥÷∞÷啓了(le)HTTP服務。S7800系列交換機(jī)R6305及以後的™≤(de)版本支持WEB網管,開(kāi)啓了(le)HTTP服務。S850✔β0(H3C為(wèi)S9500)系列交換機(jī)≠'®≤不(bù)支持WEB網管,但(dàn)在R1631P0¥π≥01和(hé)R1632(注1)版本中默±β認打開(kāi)了(le)HTTP服務。
受影(yǐng)響版本:
- S2000系列、S3000系列、S3500系列₩↑↔、S3900系列(H3C S3600)、S5100系列和(hσ☆∞é)S5600系列交換機(jī)所有(y↔¥♠ǒu)版本
- S7800系列交換機(jī)R6305和(hé)€€™以後的(de)版本
- S8500系列交換機(jī)R1631P0&÷01版本(H3C S9500)
- S8500系列交換機(jī)R1632版本(H3C 9500) ≈±
攻擊者利用(yòng)此漏洞,可(kě)能(nén π∞€g)使設備執行(xíng)攻擊者注入的(de)任意命令。
場(chǎng)景一(yī):用(yòng)戶使用(yòng)設λ✔✔↓備時(shí)不(bù)使用(yòng)WEB網頁進行(x₹×íng)配置管理(lǐ),且不(bù)使& 用(yòng)BIMS(Branch Intelligent Managem÷≤$ent System)功能(néng)進行(xíng)遠Ω¥(yuǎn)程配置。
規避方案:關閉HTTP端口 和(hé)BIMS服務,具體(tǐ)配置如(rú)♥>下(xià):
AR 18/28/46:
[Quidway] ip http shutdown↑λ
[Quidway] undo bims enable
AR 19/29/49:
[Quidway] undo ip http enab§πle
S2000系列、S3000系列、S3500系列、S3900系列、ε×S5100系列和(hé)S5600系列交換機•♦λ(jī):
[Quidway] ip http sh utdown (注3)
S7800系列交換機(jī):
[Quidway] undo ip http enπ↕×✘able
場(chǎng)景二:用(yòng)戶使用(↔ yòng)WEB網頁對(duì)設備進行(xíng)配置管理(lǐ©§)或使用(yòng)BIMS功能(néng)進行(xí×←σng)遠(yuǎn)程配置。
規避方案:通(tōng)過ACL控制(zh×λ>£ì)HTTP建立的(de)源IP地(dì)址,♥£具體(tǐ)配置如(rú)下(xià):
AR 18/28/46:
[Quidway] acl number 2001±¥
[Quidway-acl-basic-200δ¶↑1] rule 0 permit source 1.1₩≠λ.1.1 0
[Quidway-acl-basic-2001]≥σ→★rule 5 deny
[Quidway]ip http acl 200£✘1
AR 19/29/49:
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permi$↓t source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
S2000系列、S3000系列、S3500系列、S3900系列、S£♠5100系列和(hé)S5600系列交換機(jī):
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit ₽" source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001 (注3)
S7800系列交換機(jī):
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit ₽✔₩♦source 1.1.1.1 0
[Quidway-acl-basic-200×δ1]rule 5 deny
[Quidway]ip http acl 2∏✔α≈001
場(chǎng)景三:設備不(bù)支持WEBε ★∞網頁進行(xíng)配置管理(lǐ),但(dàn)HTTP服務端∏§口是(shì)打開(kāi)的(de)。
規避方案:關閉HTTP服務端口,具體(tǐ)配置如(rú)下(xià→ε):
S8500系列交換機(jī):
[Quidway] ip http shutdown
版本建議(yì)如(rú)下(xià):
AR 18/28/46 通(tōng)過φ→規避方案解決,暫不(bù)發布版本或補丁修複此漏¥洞;
AR 19/29/49 通(tōng)過規避方案解決,或者升級為(w♣÷☆èi)AR 19/29/49 R2207或之後版本 ↑≈;
S2000系列、S3000系列、S3500系列、S3900系列、S51↓♣£β00系列、S5600系列和(hé)S7800系列交換機(j£>∞¥ī): 通(tōng)過規避方案解決,暫不(bù)發布版本或補↑<丁修複此漏洞;
S8500系列交換機(jī): 通(tōngα )過規避方案解決,或是(shì)升級到(dào)R16✔ε★40及以後的(de)版本。
