一、漏洞基础说明
CVE-2015-5434 原理
该漏洞为VRF 跳转(VRF hopping)漏洞,存在于早期 Comware V7 底层,攻击者可构造特殊 MPLS 报文跨 VRF 访问隔离路由表,造成越权访问、远程 DoS 攻击。
触发条件:设备开启 MPLS+VRF 功能,漏洞 2015 年官方发布安全公告 HPSBHF03419,全系列 Comware 5/Comware7 早期版本均受影响。
临时规避方案(不升级也能临时过漏扫)
未部署 MPLS 场景(最推荐)
plaintext
system-view
undo mpls enable
undo mpls ldp enable
关闭 MPLS 后漏洞直接无法利用,漏扫不会再报该 CVE。
2. 必须使用 MPLS/VRF 场景
限制控制平面 MPLS 报文,ACL 拦截外网 MPLS 报文:
plaintext
acl number 4000
rule deny mpls source any
control-plane
packet-filter inbound acl 4000
二、可彻底修复漏洞的升级包版本(LS-5560S-52P-SI 专用)
1、修复基线版本(官方 2015 年安全补丁落地基线)
S5560S-SI 系列 Comware V7 分支 R6310 及之后所有 Release 版本 已内置该漏洞修复代码,永久消除 CVE-2015-5434 风险H3C。
2、推荐稳定正式升级包(分过渡 / 最终长期稳定版)
过渡修复最低版本:S5560S-CMW710-R6310(最早修复该漏洞的基线包)
长期稳定生产推荐:S5560S-CMW710-R6335(最新正式发布完整版,集成全部历年安全漏洞补丁,包含 CVE-2015-5434、SSL 弱加密、SSH 弱算法等全套修复)
版本文件格式:单 IPE 一体化包(S5560S-CMW710-R6335.ipe),无需拆分 bin,升级操作最简单。
3、版本下载渠道
新华三官网支持中心:搜索型号LS-5560S-52P-SI,软件下载栏获取对应 R63xx 版本 IPE 包;
联系 H3C 400 售后,提供设备序列号获取合规固件;
内部知了社区资源库可下载历史版本。
三、升级前置约束(S5560S-52P-SI 专属)
不能跨大版本跳跃升级:如当前 R6308 及更早旧版,必须先升级至 R6310 过渡,再升级 R6335,直接跳最高版本会报设备类型校验失败、启动崩溃;
Flash 空间预留≥80M,升级前删除旧版本固件释放存储;
升级前备份配置:save flash:/config_back.cfg;
IRF 堆叠两台交换机需分别上传 IPE、同步升级。
四、标准升级操作步骤
1、上传 IPE 包至 Flash
plaintext
# TFTP上传示例
tftp 192.168.1.10 get S5560S-CMW710-R6335.ipe flash:/
2、设置启动文件
plaintext
system-view
boot-loader file flash:/S5560S-CMW710-R6335.ipe all
3、校验启动配置并重启
plaintext
display boot-loader
reboot
4、升级后验证漏洞修复
查看系统版本:display version,确认 Release≥R6310;
漏扫复测:CVE-2015-5434 消失;
业务验证 MPLS/VRF 功能正常。
五、补充关键说明
不存在单独补丁 bin 文件:该漏洞为底层内核缺陷,无独立热补丁,必须完整升级系统 IPE 固件才能彻底修复;
临时规避仅适用于短期等升级窗口期,等保 / 漏扫合规要求必须升级固件彻底根除;
若设备当前版本低于 R6310,优先升级至 R6310 过渡,再升级 R6335 长期稳定版,规避跨版本升级报错。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论