将华为加密证书放入自家交换机?思科:测试完忘删了

  • 时间:
  • 浏览:0

IT之家7月5日消息 据外媒消息,思科刚刚披露了其网络设备中的一系列漏洞,其中包括有有一个令人尴尬的错误,思科将华为的加密证书倒入了当事人的交换机里。

据悉,思科在当事人的产品中发现了18个高严重性和联 等严重性的漏洞,以及有有一个标记为“信息性”的奇怪错误,哪几个漏洞会影响其Small Business 2400,3400,3400X和5400X系列交换机。

哪几个交换机中的错误也有很严重,其错误表现类型为无法获得当事人的CVE标识符。但你你是什么错误给思科上了一课——即在产品中使用第三方开源组件而不对其进行适当的安全检查会带来风险。

安全公司SEC Consult物联网部门SEC Technologies的研究人员正使用其oT Inspector漏洞搜索软件来检测思科Small Business 2400系列交换机的固件映像时,果然发现哪几个交换机包涵盖发给Futurewei Technologies的数字证书和密钥。

Futurewei Technologies是华为的美国研发部门。据报道,刚刚美国禁止华为使用美国技术,该研究部门正计划脱离华为母公司独立运营,并禁止华为员工离职,不仅放弃华为标识,必须为员工创建当事人独立的IT系统。

没办法 问題报告 来了,为哪几个思科会将其中国竞争对手的证书和密钥倒入当事人的交换机中?答案是思科开发人员在测试期间使用华为制造的开源软件包,忘记删除一点组件。

“亲戚大伙儿 注意到固件中使用了华为证书。考虑到政治上的争议,亲戚大伙儿 愿意进一步推测,”SEC Technologies首席执行官Florian Lukavsky向媒体说道。

哪几个证书是OpenDaylight的开源组件的测试包的一每段,它涵盖一点测试脚本和数据,其中包括华为颁发的证书。

“这可是证书在固件被发现的是原因分析分析。它们被思科开发人员用于测试,亲戚大伙儿 可是忘记在证书发送到设备刚刚将(用于测试的华为证书)删除,”Lukavsky解释道。愿意他又补充说,(哪几个华为)证书没办法 被主动使用,只所处于文件系统中。

“亲戚大伙儿 的研究和思科的研究没办法 发现任何迹象表明该问題报告 会对客户造成任何威胁。但思科还删除了一点无必须的软件包,并更新了亲戚大伙儿 发现漏洞的组件,”他说。

而对于这件事,思科的解释是从前的:

在Cisco Small Business 2400系列交换机固件中发现了有有一个X.4009证书,该证书具有对应的公钥/私钥对和对应的根CA证书。SEC Consult称其为“密钥之家”。这两份证书均颁发给华为子公司Futurewei Technologies。

所涉及的证书和密钥是Cisco FindIT网络探针的一每段,该探针与Cisco Small Business 2400、3400、3400X和5400X系列交换机固件捆绑在同時 。哪几个文件是OpenDaylight开源包的一每段。它们的目的是使用OpenDaylight例程测试软件的功能。

思科FindIT团队在开发思科FindIT网络探针期间,将哪几个证书和密钥用于早期的测试,事实上哪几个证书没办法 在任何正式发布的思科产品中得到使用。