首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-6994| 赫斯曼HiOS和HiSecOS产品安全缝隙公告

颁布功夫 2020-04-01

0x00 缝隙概述

CVE ID

CVE-2020-6994

时间

2020-04-01

类型

缓冲区溢出

等级

严沉

远程利用

是

影响领域

HiOS <= 07.0.02 影响产品：RSP，RSPE，RSPS，RSPL，MSP，EES， EESX，GRS，OS，RED互换机；

HiSecOS0 <= 3.2.00 影响产品：EAGLE 20/30防火墙

x01 缝隙详情

德国赫斯曼自动化和节造公司缔造于1924年，业务散布在自动化通讯领域，产品领域蕴含选取仿照和数字广播电视传输技术的移动发射和接管系统，企业和工业网络解决规划以及现场总线系统。赫斯曼在2007年被美国百通（Belden）公司收购。赫斯曼HiOS和HiSecOS都是百通推出的安全操作系统。

HiOS和HiSecOS的HTTP(S)web server中存在一个缓冲区溢露马脚。该缝隙源于对URL参数的解析不当引起的。攻击者能够借助特造的HTTP要求入侵指标设备，造成内部缓冲区溢出。

0x02 措置建议

目前厂商已建复该缝隙，建议HiOS用户尽快更新至07.0.03或更高版本，HiSecOS用户更新至03.3.00或更高版本。

一时措施可使用“IP接见限度”职能，限度HTTP和HTTPS对可信IP地址的接见，或者禁用HTTP和HTTPS服务器。

https://www.belden.com/hubfs/support/security/bulletins/Belden_Security_Bulletin_BSECV-2020-01_1v2_FINAL.pdf?hsLang=en

0x04 参考链接

https://www.us-cert.gov/ics/advisories/icsa-20-091-01

0x05 功夫线

2020-02-14 颁布缝隙

2020-02-26 推出解决规划

2020-03-24 获得CVE编号

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

CVE-2020-6994| 赫斯曼HiOS和HiSecOS产品安全缝隙公告

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线