集微网讯息,据ZDNet报道,思科披露了其网络装置中的一系列漏洞,然而这里面有一个令人尴尬的错误,即思科将华为的加密证书放入了自己的交换机里。
据报道,思科在自己的产品中发现了18个高严重性和中等严重性的漏洞,以及一个标记为“资讯性”的奇怪漏洞,这一漏洞会影响其Small Business 250,350,350X和550X系列交换机,甚至是严重到使交换机无法获得自己的CVE识别符号。
报道称,安全公司SEC Consult物联网部门SEC Technologies的研究人员在使用其漏洞检测软件检测思科的Small Business 250系列交换机的固件映像时,居然发现这些交换机包含有Futurewei Technologies的数字证书和金钥。而Futurewei是华为在美国的研发部门。
但问题是,长期以来,思科似乎一直竭尽所能的对华为进行打压,那么为什么还会将其竞争对手的证书和金钥放入自己的交换机中?
报道表示,是思科开发人员在测试期间使用了华为制造的开源软件包,但忘记了删除某些元件。
有意思的是,SEC Technologies首席执行官Florian Lukavsky向媒体说道 :“我们注意到固件中使用了华为证书,考虑到政治上的争议,我们不想做进一步推测”。
对于这件事,思科的解释是这样的:
在Cisco Small Business 250系列交换机固件中发现了具有对应的公钥/私钥和对应的根CA证书的X.509证书。SEC Consult称其为“金钥之家”。这两份证书均颁发给了华为子公司Futurewei Technologies。
所涉及的证书和金钥是思科 FindIT网络探针的一部分,该探针与Cisco Small Business 250、350、350X和550X系列交换机固件捆绑在一起。这些档案是OpenDaylight开源包的一部分。它们的用途是使用OpenDaylight例程测试软件的功能。
思科FindIT团队在开发思科FindIT网络探针期间,将这些证书和金钥用于早期的测试,事实上这些证书没有在任何正式释出的思科产品中得到使用。思科FindIT网络探针的所有供货版本都使用了动态建立的证书。
包含在OpenDaylight开源软件包中的证书和金钥是思科 FindIT开发团队的疏忽。(校对/Aki)
