漏洞关键信息 漏洞概要 漏洞类型: 会话管理 - 低标识符熵 风险等级: 高 影响范围 产品: Alcatel-Lucent OmniSwitch 6450, 6250, 6850E, 9000E, 6400, 6855 受影响版本: - AOS 6.4.5.R02 - AOS 6.4.6.R01 - AOS 6.6.4.R01 - AOS 6.6.5.R02 修复版本: - AOS 6.6.5.80.R02 - AOS 6.6.4.309.R01 漏洞详情 问题描述: 攻击者可以通过猜测会话ID来冒充已登录用户进行管理操作。 会话ID熵: 会话ID的熵较低,只有15位。 测试工具: wfuzz 修复建议 升级至修复版本的固件。 管理员应避免使用Web管理界面,改用串行控制台或通过SSH管理交换机。 若需要使用Web界面,确保只有授权人员能连接,并可将HTTP会话超时时间设置为1分钟。 时间线 2015-03-16: 漏洞发现 2015-06-10: 公告发布 相关链接 厂商网址: Alcatel-Lucent 公告网址: RedTeam Pentesting CVE编号: CVE-2015-2804