華為注意到Recurity Lab在第20屆Def Con大會(huì)上發(fā)布了有關(guān)華為AR18/28安全漏洞的信息，華為第一時(shí)間啟動(dòng)了分析，同時(shí)和Recurity Lab取得聯(lián)系。
　　華為高度重視此網(wǎng)絡(luò)安全漏洞，除AR18/28外，還對(duì)AR19/29/49、AR46、AR G3（AR 200/1200/2200/3200）全系列產(chǎn)品進(jìn)行了排查。同時(shí)，也對(duì)可能使用HTTP管理接口的全系列交換機(jī)進(jìn)行了排查。
　　1、目前已經(jīng)確認(rèn)AR18/28/46/19/29/49和S20/30/35/39/51/56/78/85這些華為OEM的產(chǎn)品中存在HTTP管理接口安全漏洞，華為已針對(duì)這些安全漏洞提供了規(guī)避措施，參見(jiàn)安全通告（SA號(hào)為Huawei-SA-20120808-01-HTTP-Module、Huawei-SA-20120808-02-HTTP-Module、Huawei-SA-20120808-03-HTTP-Module）。華為自研的AR G3系列路由器和S23/33/53/63/93/27/37/57/67/77/97系列交換機(jī)，以及OEM的S65系列交換機(jī)均未發(fā)現(xiàn)這些安全漏洞。
　　2、針對(duì)Recurity Lab反饋的AR18/28其他安全建議，已經(jīng)和OEM原廠商及安全研究機(jī)構(gòu)取得聯(lián)系，正在協(xié)同研究，范圍還包括AR46、AR19/29/49及OEM交換機(jī)產(chǎn)品。華為公司已經(jīng)對(duì)自研的AR G3系列路由器和S23/33/53/63/93/27/37/57/67/77/97系列交換機(jī)進(jìn)行了全面分析，尚未發(fā)現(xiàn)相關(guān)安全漏洞。
　　華為建立了產(chǎn)品安全漏洞響應(yīng)處理機(jī)制，對(duì)于所有確認(rèn)的安全風(fēng)險(xiǎn)，華為會(huì)立即和客戶制定應(yīng)急方案，并盡最大努力在最短時(shí)間內(nèi)修復(fù)安全漏洞。如有發(fā)現(xiàn)華為產(chǎn)品安全漏洞，可以直接報(bào)告給華為PSIRT郵箱：psirt@huawei.com。華為產(chǎn)品的用戶在維護(hù)合同期內(nèi)，可以通過(guò)現(xiàn)有的技術(shù)服務(wù)渠道尋求產(chǎn)品安全漏洞的修復(fù)支持。

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線
二○一二年八月九日

查看規(guī)避處理辦法