华为发布高危漏洞补丁，三大产品线20款服务器型号需要升级！

华为本周发布安全公告称，其20款服务器面临4个高危漏洞威胁。发布的修补程序适用于每个错误，包括身份验证绕过漏洞，特权升级漏洞和两个JavaScript Object Notation（JSON）注入漏洞。

受影响的服务器包括华为XH，RH和CH产品线。其中两个服务器漏洞与智能底板管理控制器（iBMC）服务器组件有关，该组件是一种运行在专用华为芯片组上的管理和控制工具。

安全公告指出，“由于输入验证不足，某些华为服务器的iBMC有两个JSON注入漏洞。经过身份验证的远程攻击者可以启动JSON注入来修改管理员的密码。成功的攻击可能会让攻击者获得系统的管理权限。

在上周，华为修复了另外三个严重级别较高的JSON注入漏洞（CVE-2018-7902，CVE-2018-7903和CVE-2018-7904）。

安全公告称，第二个与iBMC相关的bug是一个特权升级漏洞，它可能允许远程攻击者发送特制登录消息给易受攻击的服务器，并通过更改密码来锁定用户。由于认证设计不当，成功利用漏洞使低权限用户能够获得或修改高特权用户的密码。”

本周的iBMC问题与华为就同一组件报告的类似问题相吻合。上周，华为报告连接到iBMC的中等严重性认证旁路漏洞（CVE-2018-7942）。同样，在5月9日和5月16日，华为发布了针对与iBMC相关的不当授权错误（CVE-2018-7941和CVE-2017-17323）的修补程序。

华为指出，身份认证绕过漏洞可能允许具有较低权限的远程攻击者“绕过一些特殊操作的身份验证”并访问“敏感信息”并获得较高级别的用户权限。