更多 选择语言
安全公告-关于ClusterEngineV4.0任意命令执行等漏洞的声明
初始发布时间:2021-04-13 09:29:44
更新发布时间:2021-11-19 10:44:56
漏洞描述:

浪潮产品ClusterEngine V4.0部分接口由于输入参数校验不正确,导致攻击者可以通过发送特殊构造的报文利用该漏洞远程执行命令、绕过系统登录等。具体包括
1、 ClusterEngineV4.0 登录处任意命令执行(CVE-2020-21224)
2、 ClusterEngineV4.0 /sysShell、/alarmConfig等接口任意命令执行
3、 ClusterEngineV4.0 Web端任意用户名密码登陆
浪潮已发布补丁包/升级包修复上述漏洞:

漏洞名称 修复方案 安全预警链接
CVE-2020-21224 安装补丁包或升级ClusterEngine至5.1及以后版本 SA链接
sysShell、alarmConfig等接口任意命令执行 升级ClusterEngine至5.1及以后版本 SA链接
Web端任意用户名密码登陆

注:ClusterEngineV4.0版本产品生命周期已结束,该版本已不在浪潮产品维护范围之内,当前浪潮已真诚的解决了不再支持的ClusterEngineV4.0版本中的关键漏洞。今后,这将是例外,而不是标准做法。

致谢:

浪潮感谢kejaly of BMH Security Team上报这些安全漏洞。

参考链接:

NA

更新记录:

2021-04-13 V1.0 INITIAL
2021-04-14 V1.1 UPDATE 增加SA链接
2021-06-18 V1.1 UPDATE 更新漏洞和修复方案
2021-11-18 V1.2 UPDATE 增加致谢

浪潮安全应急响应对外服务:

浪潮一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。

反馈浪潮产品安全问题:https://www.inspur.com/lcjtww/psirt/vulnerability-management/index.html#report_ldbg

订阅浪潮产品安全信息:https://en.inspur.com/en/security_bulletins/vulnerability_subscription/index.html

获取技术支持:https://www.inspur.com/lcjtww/2317452/2317456/2317460/index.html


线




×
联系我们
服务器、存储、网络产品购买热线
400-860-6708
ERP、管理软件购买热线
400-018-7700
云服务产品销售热线
400-607-6657