发布者认证信息(营业执照和身份证)未完善,请登录后完善信息登录
 总算晓得将华为加密证书放入自家交换机?思科:测试完忘删了 - 最新消息 - 三农网
Hi,你好,欢迎来到三农网
  • 产品
  • 求购
  • 公司
  • 展会
  • 招商
  • 资讯
当前位置: 首页 » 资讯 » 环球农业 找商家、找信息优选VIP,安全更可靠!
总算晓得将华为加密证书放入自家交换机?思科:测试完忘删了 - 最新消息
发布日期:2023-08-10 05:42:29  浏览次数:8

最新消息7月5日消息 据外媒消息,思科已经披露了其网络设备中的一系列漏洞,其中包括一个令人尴尬的错误,思科将华为的加密证书放入了自己的交换机里。

据悉,思科在自己的产品中发现了18个高严重性和中等严重性的漏洞,以及一个标记为“信息性”的奇怪错误,这些漏洞会影响其Small Business 250,350,350X和550X系列交换机。

这些交换机中的错误不是很严重,其错误表现类型为无法获得自己的CVE标识符。但这个错误给思科上了一课——即在产品中使用第三方开源组件而不对其进行适当的安全检查会带来风险。

安全公司SEC Consult物联网部门SEC Technologies的研究人员正使用其oT Inspector漏洞搜索软件来检测思科Small Business 250系列交换机的固件映像时,居然发现这些交换机包含有发给Futurewei Technologies的数字证书和密钥。

Futurewei Technologies是华为的美国研发部门。据报道,由于美国禁止华为使用美国技术,该研究部门正计划脱离华为母公司独立运营,并禁止华为员工离职,不仅放弃华为标识,还要为员工创建自己独立的IT系统。

那么问题来了,为什么思科会将其中国竞争对手的证书和密钥放入自己的交换机中?答案是思科开发人员在测试期间使用华为制造的开源软件包,忘记删除某些组件。

“我们注意到固件中使用了华为证书。考虑到政治上的争议,我们不想进一步推测,”SEC Technologies首席执行官Florian Lukavsky向媒体说道。

这些证书是OpenDaylight的开源组件的测试包的一部分,它包含一些测试脚本和数据,其中包括华为颁发的证书。

“这就是证书在固件被发现的原因。它们被思科开发人员用于测试,他们只是忘记在证书发送到设备之前将(用于测试的华为证书)删除,”Lukavsky解释道。随后他又补充说,(这些华为)证书没有被主动使用,只存在于文件系统中。

“我们的研究和思科的研究没有发现任何迹象表明该问题会对客户造成任何威胁。但思科还删除了一些不必要的软件包,并更新了我们发现漏洞的组件,”他说。

而对于这件事,思科的解释是这样的:

在Cisco Small Business 250系列交换机固件中发现了一个证书,该证书具有对应的公钥/私钥对和对应的根CA证书。SEC Consult称其为“密钥之家”。这两份证书均颁发给华为子公司Futurewei Technologies。

所涉及的证书和密钥是Cisco FindIT网络探针的一部分,该探针与Cisco Small Business 250、350、350X和550X系列交换机固件捆绑在一起。这些文件是OpenDaylight开源包的一部分。它们的目的是使用OpenDaylight例程测试软件的功能。

思科FindIT团队在开发思科FindIT网络探针期间,将这些证书和密钥用于早期的测试,事实上这些证书没有在任何正式发布的思科产品中得到使用。

VIP企业最新发布
全站最新发布
最新VIP企业
背景开启

三农网是一个开放的平台,信息全部为用户自行注册发布!并不代表本网赞同其观点或证实其内容的真实性,需用户自行承担信息的真实性,图片及其他资源的版权责任! 本站不承担此类作品侵权行为的直接责任及连带责任。

如若本网有任何内容侵犯您的权益,请联系 QQ: 1130861724

网站首页 | 实时热点 | 侵权删除 | 付款方式 | 联系方式 | 法律责任 | 网站地图 ©2022 zxb2b.com 三农网,中国大型农产品交易电商平台 鄂公网安备42018502006996 SITEMAPS | 鄂ICP备14015623号-20

返回顶部