Board logo

标题: 天融信防火墙openssl漏洞可能导致信息泄漏 [打印本页]

作者: linda    时间: 2015-1-7 16:00     标题: 天融信防火墙openssl漏洞可能导致信息泄漏

漏洞概要
缺陷编号:        WooYun-2014-56752
漏洞标题:        天融信防火墙openssl漏洞可能导致信息泄漏
相关厂商:        天融信
漏洞作者:        爱Gail
提交时间:        2014-04-11 22:57
公开时间:        2014-07-10 22:58
漏洞类型:        默认配置不当
危害等级:        高
自评Rank:        12
漏洞状态:        厂商已经确认
漏洞来源:        http://www.wooyun.org
Tags标签:       openssl 天融信

漏洞详情披露状态:
2014-04-11:        细节已通知厂商并且等待厂商处理中
2014-04-14:        厂商已经确认,细节仅向厂商公开
2014-04-17:        细节向第三方安全合作伙伴开放
2014-04-24:        细节向核心白帽子及相关领域专家公开
2014-05-04:        细节向普通白帽子公开
2014-05-24:        细节向实习白帽子公开
2014-07-10:        细节向公众公开

简要描述:天融信防火墙openssl漏洞导致信息泄漏
详细说明:天融信防火墙可以进行https管理,存在openssl漏洞

网络上可以见到很多天融信防火墙的公网IP,例如:https://61.144.225.113/







利用openssl漏洞获取内存信息,可以看到存在敏感信息







这里可以看到username和password

与深信服VPN的漏洞不同的是,这里全是明文,没有做任何转换



但此漏洞无法登录防火墙,猜测可能是防火墙将VPN的敏感信息存在了本地

漏洞证明:


修复方案:你懂的
版权声明:转载请注明来源 爱Gail@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-04-14 09:53
厂商回复:感谢您的支持,我们研发人员正在紧急修复。
最新状态:暂无

原文:http://www.wooyun.org/bugs/wooyun-2010-056752




欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0