• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

交换机S5560S-52P-SI存在系统漏洞

6小时前提问
  • 0关注
  • 0收藏,43浏览
粉丝:0人 关注:0人

问题描述:

存在CVE-2015-5434漏洞,设备因为过保,官网上就没有固件升级包,打400客服也是推脱过保不提供服务。和华为比差远了,同样有漏洞,华为很快就给答复了。

3 个回答
粉丝:20人 关注:2人

S5560S-52P-SI CVE-2015-5434 漏洞完整解决方案(过保无法升级固件场景)
一、漏洞基础信息
漏洞原理
CVE-2015-5434 是 H3C Comware V7 平台 MPLS 协议高危漏洞:设备开启 MPLS/VPLS 后,攻击者构造恶意 IP over MPLS 报文发送至设备 VPLS 端口,可触发设备内存异常、远程拒绝服务(整机宕机 / 业务断流),仅存在于未修复老版本固件。
触发必要条件:设备全局 / 接口开启 MPLS、VPLS 功能。
二、先解决「过保无法获取固件」的渠道问题
渠道 1:合规向 400 索要安全修复版本(可引用法规施压)
拨打 400-810-0504,明确两点:
该漏洞为公开高危安全漏洞,依据《网络产品安全漏洞管理规定》,厂商不得以设备过保为由拒绝提供安全修复固件;
提供交换机序列号 SN、型号 S5560S-52P-SI、当前版本display version输出、漏洞扫描报告,要求下发修复 CVE-2015-5434 的 CMW710 稳定分支 IPE 包。
若客服仍以过保推脱,要求转接安全漏洞专项工单,普通维保坐席无安全漏洞处理权限。
渠道 2:知了社区提交版本申请
登录知了社区 https://zhiliao.h3c.com/
顶部「服务支持 - 软件下载」页面底部点击「无法找到所需软件?点击申请」
填写型号、SN、漏洞编号 CVE-2015-5434、漏洞风险描述,工程师会邮件下发适配固件包。
渠道 3:联系原厂签约代理商
设备采购经销商拥有合作伙伴下载权限,可由代理商在 H3C 合作伙伴门户下载对应修复版本,无需设备在保。
三、无固件升级时,永久闭环漏洞的配置加固方案(核心临时根治手段)
漏洞依赖 MPLS/VPLS 功能触发,业务不用 MPLS 则直接关闭功能,彻底消除漏洞面,无需升级固件。
方案 1:业务无 MPLS,直接全局关闭 MPLS(最优,彻底封堵漏洞)
bash
运行
# 进入系统视图
system-view
# 全局关闭MPLS功能
undo mpls enable
# 关闭所有接口下MPLS使能
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/52
undo mpls enable
# 保存配置
save force
关闭后漏扫工具将无法检测到该漏洞,从根源消除攻击入口。
方案 2:业务必须使用 MPLS/VPLS,多层防护缩小攻击面
仅信任内网核心设备建立 MPLS 邻居,ACL 拦截所有外网 / 未知网段 MPLS 报文
bash
运行
# 创建ACL 4000,仅允许核心交换机IP发送MPLS报文
acl number 4000
rule permit source 10.0.0.0 0.0.0.255
rule deny
# 全局绑定MPLS报文过滤ACL
mpls filter acl 4000
关闭 VPLS 不必要的端口,仅业务所需端口开启 VPLS;
管理平面加固,防止攻击者通过管理端口注入恶意报文:
bash
运行
# 仅内网管理网段可登录设备,拦截其他IP访问SSH/WEB/Telnet
acl number 3000
rule permit source 192.168.1.0 0.0.0.255
rule deny
ssh server acl 3000
ip https acl 3000
undo ip http enable
undo telnet server enable
# 强制高安全SSH加密算法,关闭弱加密套件
ssh2 algorithm cipher aes128-ctr aes192-ctr aes256-ctr
ssh2 algorithm mac sha2-512
全网边界防火墙 / 核心交换机配置 ACL,全网拦截公网方向 MPLS 协议报文(IP 协议号 130),禁止 MPLS 报文跨外网传输。
四、配套安全运维兜底措施
日志审计:开启设备信息中心,将 MPLS 报文、端口上下线日志推送至日志服务器,实时监控异常 MPLS 报文;
bash
运行
info-center loghost 192.168.1.100
info-center source MPLS module logbuffer
漏扫规避:漏扫设备 IP 加入管理 ACL 黑名单,禁止扫描机向设备发送 MPLS 探测报文;
硬件替换长期方案:若设备服役年限长、厂商持续不提供安全支持,可纳入设备更新计划,替换为仍在软件维护周期的新款交换机。
五、和华为维保政策差异客观说明
华为:针对高危安全漏洞,无论设备是否过保,均免费提供修复补丁 / 固件,400 直接下发;
H3C 现行规则:普通硬件故障维保过期不再提供免费远程 / 固件,但高危安全漏洞属于强制合规义务,可依据网络安全相关法规要求厂商无偿提供修复版本,普通坐席推诿时需升级安全专项工单处理。

暂无评论

粉丝:23人 关注:1人

关于你提到的 CVE-2015-5434 漏洞,你遇到的情况很可能是一个“误报”,而不是一个需要紧急修复的真正安全缺陷。同时,对于过保设备无法获取固件的困境,这里也有一些可行的建议。

为什么这可能是个“误报”?

首先,这个漏洞的原理是:攻击者利用支持MPLS(多协议标签交换)的设备,通过“VRF跳跃”来绕过访问限制或造成拒绝服务。

你的设备 S5560S-52P-SI 很可能不涉及这个问题:

  1. Comware V5平台不受影响:有信息明确指出,Comware V5平台及自研iWare平台没有该问题。而 S5560S-52P-SI 运行的是 Comware V7 平台。

  2. 漏洞与MPLS相关:对于Comware V7平台,该漏洞仅在开启了MPLS转发时才存在。而 S5560S-52P-SI 作为一款园区网接入/汇聚交换机,通常不会开启MPLS功能

  3. 扫描方式可能不准确:一些漏扫设备(如启明星辰的天镜)可能仅通过设备返回的软件版本号(例如“Comware 7.1.064”)来判断,而不是实际验证漏洞。因此,即便设备没有漏洞,也可能被标记出来。

如何确认并解决问题?

你可以按以下步骤操作,以彻底了解情况并消除告警:

  1. 检查设备版本:先登录交换机,使用 display version 命令确认当前的软件版本。

  2. 确认漏洞状态:根据官方信息,Comware V7平台2021年年度版本及更新版本不涉及该漏洞。如果你的版本是 R6335或更新的版本,基本可以确定不受影响。

  3. 联系官方技术支持(即使设备过保):这是最关键的一步。虽然你的设备已过保,但为了确认漏洞状态或获取其他帮助,你依然可以尝试联系官方。

    • H3C官方技术支持热线400-810-0504。联系时可以明确说明情况,请求官方确认 S5560S-52P-SI 是否受 CVE-2015-5434 影响,并咨询过保设备的解决方案。

暂无评论

不这个这边版本能否解决。官网有,只是你找不大。

下载无权限的话,注册账号绑定设备SN就可以了。

版本链接 首页支持文档与软件软件下载交换机H3C S5560系列以太网交换机H3C S5560S-SI 系列以太交换机

打开你的电脑,在浏览器输入知了社区,找到这个帖子,要么在别人下面评论,要么点我名字。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明