发布日期：2013-04-03
更新日期：2013-04-07

受影响系统：

Huawei Secospace VSM V200R002C00SPC200
Huawei Secospace VSM V200R002C00SPC100
Huawei Secospace VSM V200R002C00

描述：

---

BUGTRAQ  ID: 58869

Huawei VSM是统一的安全服务管理系统。

当默认用户组的用户登录到系统修改默认用户组权限配置时，Huawei VSM在验证用户账户时存在错误，攻击者可利用此漏洞提升默认用户组的权限。现在厂商已经发布VSM V200R002C00SPC300修复了此漏洞。

<*来源：vendor
  
  链接：http://secunia.com/advisories/52891/
        http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-258449.htm
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 优化VSM身份验证策略，阻止权限提升。

厂商补丁：

Huawei
------
Huawei已经为此发布了一个安全公告（hw-258449）以及相应补丁:

hw-258449：Security Advisory- Huawei VSM Default User Groups’ Privilege Escalation
链接：http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-258449.htm

补丁下载：http://support.huawei.com/enterprise/softdownload.action?idAbsPath=fixnode01%7C7919710%7C9856717%7C7923123%7C9858904%7C8577742&pid=8577742&vrc=8616279%7C8616281%7C8616284%7C9470142&show=showVDetail&tab=bz&bz_vr=8616281&bz_vrc=&nbz_vr=null

浏览次数：4070
严重程度：0（网友投票）