语言选择
投资者关系

安全预警 - 大华部分IPC/IP球产品密码找回功能可能导致的安全风险

预警编号:DHCC-SA-201711-003

初始发布时间:2017-11-10

漏洞描述:

在提供设备相关信息后,IPC/IP球部分产品用户可通过大华授权渠道获得一个特定时长有效的临时口令来重置密码。此功能所使用的算法机制存在被破解并被攻击者利用的可能。

 

漏洞编号:

CVE-2017-9315

 

漏洞评分:

该漏洞使用CVSS v3标准进行分级评分( http://www.first.org/cvss/specification-document

CVE-2017-9315

基础得分:7.6 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L)

临时得分:7.1 (E:F/RL:O/RC:C)

 

影响范围及修复程序:

 “修复程序”中对应此功能算法采用了全新的密码重置机制,重置机制的详情请参见链接

IPC:

影响型号

受影响版本

修复程序

IPC-HFW1XXX

IPC-HDW1XXX IPC-HDBW1XXX

版本Build时间范围:2015/7~2017/3

2.1.02.01.17179:DH_IPC-HFW1XXX-Alps_Chn_PN_V2.420.0000.27.R.20170803.zip

IPC-HFW2XXX

IPC-HDW2XXX

IPC-HDBW2XXX

2.1.02.01.17423:   DH_IPC-HFW2XXX-Alps_Chn_PN_V2.420.0000.28.R.20170830.zip

2.1.02.01.17412: DH_IPC-HX2XXX-Eos4_Chn_PN_V2.600.0000.5.R.20170830.zip

IPC-HFW4XXX

IPC-HDW4XXX

IPC-HDBW4XXX

2.1.02.01.17489:DH_IPC-HX4XXX-Eos_Chn_PN_Stream3_

V2.621.0000.28.R.20170912.zip

2.1.02.01.17403:DH_IPC-HX4X2X-Themis_Chn_PN_Stream3_

V2.620.0000002.0.R.170830.zip

2.1.02.01.17230:   DH_IPC-HX5X3X-Rhea_Chn_PN_Stream3_

V2.460.0000.15.R.20170907.zip

IPC-HF5XXX

IPC-HFW5XXX

IPC-HDW5XXX

IPC-HDBW5XXX

2.1.02.01.17397:DH_IPC-HX5X2X-Themis_Chn_PN_Stream3_V2.620.0000002.0.R.170830.zip

2.1.02.01.17230:   DH_IPC-HX5X3X-Rhea_Chn_PN_Stream3_

V2.460.0000.15.R.20170907.zip

IPC-HF8XXX

IPC-HFW8XXX

IPC-HDBW8XXX

IPC-EBW8XXX

IPC-PFW8xxx

IPC-PDBW8xxx

IPC-HUM8xxx

PSD8xxxx

2.1.02.01.17553:DH_IPC-HX8XXX-Nova_Chn_PN_Stream3_V2.600.0000.14.R.20170831.zip
  2.1.02.01.17511:DH_IPC-PFW8XXX-Nova_Chn_PN_Stream3_V2.460.0000.11.R.20170928.zip   
  2.1.02.01.17536:DH_IPC-PSD8XXX-Nova_Chn_PN_Stream3_V2.460.0000.4.R.20170927.zip
  2.1.02.01.17316:DH_IPC-HX8XXX-Nova2_Chn_PN_Stream3_V2.600.0000.3.R.20170830.zip
  2.1.02.01.17230:DH_IPC-HX5X3X-Rhea_Chn_PN_Stream3_V2.460.0000.15.R.20170907.zip

 

IP球机:

影响型号

受影响版本

修复程序

DH-SD-2XXXXX

版本Build时间范围:2015/7~2017/3

DH_SD-Mao-Themis_Chn_PN_Stream3_IVS_V2.600.0000.0.R.20170601.zip

DH-SD-4XXXXX

DH_SD-Mao-Themis_Chn_PN_Stream3_IVS_V2.600.0000.0.R.20170601.zip

DH-SD-6XXXXX

DH-SD6XXXXX

DH_SD-Eos_Chn_PN_Stream3_V2.600.0000000.10.R.170906.zip

DH_SD-Yin-Demeter_Chn_P_Stream3_Traffic_M2.0_V2.600.0000000.2.R.170912.zip

DH_SD-Yin-Demeter_Chn_PN_Stream3_Intelligent_V2.600.0000000.1.R.170823.zip

 


 

版本获取途径:

请按照上述修复版本或更新版本下载升级。或联系大华区域技术支持人员进行升级。


联系渠道:

    关于大华股份产品和解决方案的问题,可以通过大华安全应急响应中心DHCC的邮箱: cybersecurity@dahuatech.com反馈给我们。 感谢Zero Day Initiative(ZDI)发现该问题并披露给DHCC。

更新记录:

    2017-11-10 INITIAL