华三ACG1000 漏洞扫描出现函数遍历以及验证漏洞，opssh问题

i-Ware software,Version 1.10,Release 6611P06, Build time is Jun 19 2020 09:16:38
System uptime: 677 days 4 hours 52 minutes
Firmware is SecPathACG1000-IMW110-R6611P06-ALL.BIN

Application signature version: APP-R3.1.441
IPS signature version: 20200109
Virus protection version: 20200102

Software S/N : 110105900121072710656363
Device S/N : 219801A2729218P00038
Model : ACG1000-AK215
Platform : PLATFORM_NF01

升级下最新版本在扫描看看 

升级最新版本吧，然后再试试

优先升级至 R6618P02，一次性修复 4 个漏洞，彻底解决问题。
升级前备份配置（Web → 系统管理 → 配置管理 → 导出）。
升级后重新漏扫，确认 4 个漏洞均消失。

一、 Lighttpd 路径遍历与输入验证漏洞

• 涉及 CVE：CVE-2018-19052（函数路径遍历）、CVE-2019-11072（输入验证错误）
• 问题原因：这是 ACG1000 早期系统软件版本中存在的一个已知缺陷。
• 解决方案：这两个漏洞属于底层软件 Bug，无法通过简单的策略配置规避。唯一且彻底的修复方法是升级设备的系统主机版本。请前往 H3C 官网下载适配您硬件型号的较新稳定版固件进行升级，新版本已修复了该问题。

二、 OpenSSH 命令注入与代码问题漏洞

• 涉及 CVE：CVE-2020-15778（scp.c 文件命令注入）、CVE-2023-38408（代码问题/远程执行）
• 问题原因：ACG1000 内部集成的开源 OpenSSH 组件版本较低。漏洞扫描器通常是通过识别 SSH 服务的 Banner 版本号来判断是否存在此类漏洞的。
• 解决方案：
  1. 首选方案（升级系统）：将设备主机版本升级到官方推荐的修复版本。例如，针对 CVE-2020-15778，H3C 官方建议将 ACG1000 系列设备升级至 R6611P12 或 R6612P02 及以上版本，新版已将内置的 OpenSSH 升级至安全的 8.6 版本。对于其他高危漏洞，同样建议直接升级至官网提供的最新稳定版本以彻底根治。
  2. 备选方案（临时缓解/规避）：如果当前业务环境不允许中断升级，可以采取以下临时措施降低风险：
     • 关闭 SSH 服务：在设备的网络接口管理方式中取消勾选 SSH，改用 HTTPS 进行管理（注意这会失去命令行管理能力）。
     • 限制访问源 IP：配置 ACL（访问控制列表），严格限制仅允许特定的可信运维网段（如堡垒机或管理员 PC）访问设备的 SSH 端口，从而收敛攻击面。