安全公告编号:CNTA-2014-0031

10月30日，CNVD接到中兴通讯股份有限公司网络安全应急组织PSIRT的信息通报，称中兴通讯公司针对此前披露的GNU Bash远程代码执行高危漏洞（CNVD-2014-06345,对应CVE-2014-6271）开展了对中兴通讯公司相关产品的排查测试，后续中兴通讯股份有限公司将积极协助用户提供后续解决方案。相关情况汇总如下：

一、排查情况分析

根据中兴通讯公司报告的情况，受影响的产品列表如下表所示：

产品名称	版本号
FD	V3.10.20.30 V3.20.30 V3.20.50 GUL多模V4.12 GUL多模V4.13
TDD-LTE宏站	V3.10.20.30系列版本 V3.20.30系列版本 V3.20.50系列版本 TL双模3.30.502系列版本 TL双模3.30.600系列版本 TL双模3.30.601系列版本
FDD-LTE NDS-L	NDS-L V13.4 NDS-L V14.20
FDD-LTE NetNumen U31	R56 V12.12, R18 V12.12 R56 V12.13, R18 V12.13
iAMS网管	iAMS12.14.20B5系列所有版本
iSON Server	iSONV12.13.40B3
GUT网管	U31 R18 V12.13系列所有版本
GU SDR	SDR412 SDR413 SDR414系列
GU BSC	BSC-V6.30 BSC-V6.50 BSC 71系列
GU UMTS	UMTS-V3.11 UMTS-V4.12
SDR BBU	sdr1.2.2.1b13系列所有版本
LTE网管	U31 R56 V12.13 / U31 R56 V12.12系列
网优运维工具NetMAX	NetMAX-L V14.20 NetMAX-GU V14.20 NDS-GU V14.20
微波NetNumen U31	NetNumen U31 R58
承载网NetNumen U31 R22	V12.14.10, V12.14.10P02
ZXESS EasyGateway终端管理系统	EasyGateway V6.0
多媒体业务	多媒体视讯：IPTV基本业务，CDN、增值业务的所有产品和模块 所有个人业务产品和模块
云计算和政企业务产品	云计算ZXCLOUD iECS V3.0系列版本 云存储ZXCLOUD CSS2000 V3.0系列版本 数据中心ZXCLOUD iDCIM V1.0系列版本
电信级服务器操作系统	CGSL V4.03.20.P1.F1 CGSL V3.02.30.P3.F3
网管平台NetNumen U31	网管平台NetNumen U31 R06
综合网管U32	NetNumen U32 V6.00.XX 系列版本所有基于UNIX、Linux的版本 NetNumen U32 V3.00.XX系列版本所有基于UNIX、Linux的版本
ZXT2000 信令监测系统	ZXT2000 CS10V4.3 ZXT2000 CS10V5.8 ZXT2000 CS10V6.0 ZXT2000 PS10V6.1.01 ZXT2000 PS10V6.1.3X ZXT2000 V6.2.00_CS ZXT2000 V6.2.00_PS ZXT2000 V6.2.00_LTE

而不受影响的产品列表如下表所示：

产品类别	产品名称
LTE	BS8102
TDD	WLAN
GU	BS8912 V4.12 BS8908 V4.13 BS8112 V1.00 GSM-R
FN	DSL终端产品 PON终端 PON LAN MDU

二、漏洞处置建议

目前，中兴通讯公司称将后续其产品经营部以及售后团队将对相应的受影响产品进行升级，CNVD建议用户及时关注中兴通讯公司网站，及时获取相关信息。

CNVD认为，对于影响广泛的高危漏洞，中兴通讯公司积极排查漏洞并采取修复措施的行动将有助于及时防范潜在的攻击风险，值得国内企业借鉴和学习，不断完善漏洞的应急响应流程，保障用户网络安全权益。

参考链接：

http://www.zte.com.cn/cn/about/corporate_citizenship/security/

http://www.cnvd.org.cn/webinfo/show/3507

http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1006082