预警编号：PowerLeader-sa-20160817-02-server

初始发布时间： 2016-08-17

更新发布时间： 2016-12-28

漏洞描述

宝德部分服务器产品存在信息泄露的安全漏洞，设备提供SSH加密算法可选择功能，用户可以选择安全加密算法或者不安全加密算法，如果使用了不安全加密算法，攻击者可以破解加密数据，导致信息泄露。

此漏洞的CVE编号为：CVE-2016-6838。

影响后果

攻击者成功利用这个漏洞，破解加密数据，导致用户信息泄露。

漏洞得分

漏洞使用CVSSv2计分系统进行分级（http://www.first.org/cvss/）

基础得分：4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N)

临时得分：3.6 (E:F/RL:O/RC:C)

技术细节

前提条件：

1.攻击者可以接入受影响设备所在网络；

2.攻击步骤：

服务器设备提供SSH加密算法可选择功能，用户可以选择安全加密算法或者不安全加密算法，如果使用了不安全加密算法，攻击者可以破解加密数据，导致信息泄露。

规避措施

无

版本获取路径

用户可以通过宝德400热线获取补丁/更新版本。

漏洞来源

该漏洞由宝德内部测试发现。

更新记录

2016-12-28 V1.2 UPDATE  刷新受影响版本

2016-08-31 V1.1 UPDATE  刷新受影响版本、修复版本和CVE编号。

2016-08-17 V1.0 INITIAL

FAQ

无

后续改善计划

宝德计算机会持续跟进该漏洞的最新动态，请关注宝德计算机官网、官微公告有任何关于此漏洞修复的问题，可以通过以下方式联系我们:

宝德计算机售后咨询热线:4008-870-872

宝德PSIRT邮箱:psirt@powerleadercom.cn

宝德计算机官网:http://www.powerleadercom.cn