首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-6994| 赫斯曼HiOS和HiSecOS产品安全缝隙公告

颁布功夫 2020-04-01

0x00 缝隙概述

CVE ID

CVE-2020-6994

时间

2020-04-01

类型

缓冲区溢出

等级

严沉

远程利用

是

影响领域

HiOS <= 07.0.02 影响产品：RSP，RSPE，RSPS，RSPL，MSP，EES， EESX，GRS，OS，RED互换机；

HiSecOS0 <= 3.2.00 影响产品：EAGLE 20/30防火墙

x01 缝隙详情

德国赫斯曼自动化和节造公司缔造于1924年，业务散布在自动化通讯领域，产品领域蕴含选取仿照和数字广播电视传输技术的移动发射和接管系统，企业和工业网络解决规划以及现场总线系统。赫斯曼在2007年被美国百通（Belden）公司收购。赫斯曼HiOS和HiSecOS都是百通推出的安全操作系统。

HiOS和HiSecOS的HTTP(S)web server中存在一个缓冲区溢露马脚。该缝隙源于对URL参数的解析不当引起的。攻击者能够借助特造的HTTP要求入侵指标设备，造成内部缓冲区溢出。

0x02 措置建议

目前厂商已建复该缝隙，建议HiOS用户尽快更新至07.0.03或更高版本，HiSecOS用户更新至03.3.00或更高版本。

一时措施可使用“IP接见限度”职能，限度HTTP和HTTPS对可信IP地址的接见，或者禁用HTTP和HTTPS服务器。

https://www.belden.com/hubfs/support/security/bulletins/Belden_Security_Bulletin_BSECV-2020-01_1v2_FINAL.pdf?hsLang=en

0x04 参考链接

https://www.us-cert.gov/ics/advisories/icsa-20-091-01

0x05 功夫线

2020-02-14 颁布缝隙

2020-02-26 推出解决规划

2020-03-24 获得CVE编号

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

CVE-2020-6994| 赫斯曼HiOS和HiSecOS产品安全缝隙公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线