[公开漏洞]天融信防火墙openssl漏洞可能导致信息泄漏

    来源:WooYun 浏览:678次 时间:2014-07-11
天融信防火墙openssl漏洞可能导致信息泄漏 相关厂商: 天融信 漏洞作者:爱Gail 提交时间:2014-04-11 22:57 公开时间:2014-07-10 22:58 漏洞类型:默认配置不当 危害等级:高 自评Rank:12 漏洞状态: 厂商已经确认 漏洞来源:http://www.wooyun.org Tags标签: openssl 天融信 漏洞详情 披露状态:

2014-04-11:细节已通知厂商并且等待厂商处理中
2014-04-14:厂商已经确认,细节仅向厂商公开
2014-04-17:细节向第三方安全合作伙伴开放
2014-04-24:细节向核心白帽子及相关领域专家公开
2014-05-04:细节向普通白帽子公开
2014-05-24:细节向实习白帽子公开
2014-07-10:细节向公众公开

简要描述:

天融信防火墙openssl漏洞导致信息泄漏

详细说明:

天融信防火墙可以进行https管理,存在openssl漏洞

网络上可以见到很多天融信防火墙的公网IP,例如:https://61.144.225.113/

1.jpg





利用openssl漏洞获取内存信息,可以看到存在敏感信息

2.jpg





这里可以看到username和password

与深信服限制关键词的漏洞不同的是,这里全是明文,没有做任何转换



但此漏洞无法登录防火墙,猜测可能是防火墙将限制关键词的敏感信息存在了本地

漏洞证明:

2.jpg

修复方案:

你懂的

版权声明:转载请注明来源 爱Gail@乌云

漏洞回应 厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-04-14 09:53

厂商回复:

感谢您的支持,我们研发人员正在紧急修复。

最新状态:

暂无

上一篇: 广东某地税已被限制关键词沦陷+qq电脑管家爆风险+可getshell+已被提权下载
下一篇: Q6.1来了!QQ6.1体验版(11762)纯净版(有Q秀)|(无Q秀)下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细