查看: 2138|回复: 3
收起左侧

[讨论] Defcon黑客大会披露华为路由器存在严重安全漏洞

[复制链接]
dxui12
头像被屏蔽
发表于 2012-8-1 08:31:13 | 显示全部楼层 |阅读模式
上周日,有安全人员在Defcon展现了如何轻松地进入计算机网络,这些网络的路由器是由中国电子巨头华为公司制造。安全公司Recurity Labs的负责人费利克斯·林德纳(Felix Lindner)是发现这些安全漏洞的两位研究人员之一。

他说,这些安全漏洞 包括一个会话劫持安全漏洞、一个堆溢出安全漏洞和一个堆栈溢出安全漏洞。这些安全漏洞是在华为AR18和AR29系列路由器中发现的。利用这些安全漏洞能 够在互联网上控制这些设备。

  林德纳称,华为是世界上增长最迅速的网络和电信设备提供商之一。全球一半的互联网基础设施都是华为生产的设备。



  这位研究人员过去曾分析了思科的网络设备的安全性。他解释说,他分析的华为设备的安全性是迄今为止“最糟糕的”。他说,这些设备肯定包含更多的安全漏洞。

  林德纳与Recurity Labs的安全顾问格雷戈尔·科夫(Gregor Kopf)一起在Defcon会议上发表了讲话。这两位研究人员指出,在从固件的代码到把格式数据写成串(函数指令)的过程中有1万多个调用。这个函数是以不安全而闻名的。

  丹·卡明斯基(Dan Kaminsky)在2008年因在全球DNS(域名系统)中发现一个重大安全漏洞而闻名并且以前曾为思科工作。卡明斯基称:“这个材料是令人怀疑的。如果我从头开始教某人如何编写二进制安全漏洞,这些路由器可能是我展示这些安全漏洞的设备。”

  卡明斯基称,林德纳显示的是我们学习了15年的安全的编写代码的做法,应该做的和不应该做的事情,这些一直没有被华为的工程师采纳。

  据华为的网站称,AR系列路由器是企业应用的。AR18路由器是小企业和家庭企业使用的。

  Recurity Labs的研究人员在讲话中特别指出,他们没有测试华为的NE系列路由器等大型设备,因为他们得不到这种设备。这些设备是为电信数据通信网络使用的。

  林德纳和科夫还批评华为在安全问题方面缺少透明度。这些研究人员称,华为没有一个负责报告安全漏洞的安全联络人,没有发布安全公告,在固件升级时没有说明什么瑕疵已经修复。

  林德纳称,如果我不知道与谁联络,我就不能告诉你你的安全漏洞。这种事情就发生了。他指的是公开披露这些安全漏洞。

  这些研究人员希望这将是对华为用户的一个提醒。林德纳称,迫使一个公司制造更安全的产品的唯一途径是让用户提出这个要求,就像过去在微软、思科或苹果发生的事情一样。

  华为没有回应要求发表评论的请求。
dliwj
发表于 2012-8-1 09:03:42 | 显示全部楼层
國內的重視程度還不夠吧
希望華為做好安全
静水沉月
发表于 2012-8-1 09:08:20 | 显示全部楼层
没用过华为的东西
交天下朋友
发表于 2012-8-1 12:02:30 | 显示全部楼层
用发达国家的眼光看待发展中国
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 04:32 , Processed in 0.141556 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表