语言选择
投资者关系

安全预警 - 大华部分设备存在越权漏洞

预警编号:DHCC-SA-201803-001

初始发布时间:2018-03-16

更新发布时间:2018-05-22

 

漏洞描述:

大华部分设备存在纵向越权漏洞。攻击者在低权限帐户下可通过一定方式获得高权限用户的帐号信息,进而窃取设备信息或攻击设备。

 

漏洞编号:

CVE-2017-9317

 

漏洞评分:

该漏洞使用CVSS v3标准进行分级评分( http://www.first.org/cvss/specification-document

CVE-2017-9317

基础得分:7.1 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L)

临时得分:6.6 (E:F/RL:O/RC:C)

 

影响范围及修复程序:

 目前已知下列产品系列和型号受到影响:

影响型号

受影响版本

修复程序

XVR平台5x04

DH_XVR5x04_Eng_P_V3.218.0000001.2.R.170808
DH_XVR5x04_Eng_P_V3.210.0001.11.R.20170525
DH_XVR5x04_Eng_P_V3.210.0001.8.R.20170307
DH_XVR5x04_Eng_P_V3.210.0001.7.R.20170218
DH_XVR5x04_Eng_P_V3.210.0001.3.R.20160914

DH_XVR5x04_Eng_P_V3.218.0000002.1.R.171229

XVR平台5x08

DH_XVR5x08_Eng_P_V3.218.0000001.2.R.170808
DH_XVR5x08_Eng_P_V3.210.0001.11.R.20170525
DH_XVR5x08_Eng_P_V3.210.0001.8.R.20170307
DH_XVR5x08_Eng_P_V3.210.0001.7.R.20170218
DH_XVR5x08_Eng_P_V3.210.0001.3.R.20160914

DH_XVR5x08_Eng_P_V3.218.0000002.1.R.171229

XVR平台5x16

DH_XVR5x16_Eng_P_V3.218.0000001.2.R.170808
DH_XVR5x16_Eng_P_V3.210.0001.11.R.20170525
DH_XVR5x16_Eng_P_V3.210.0001.8.R.20170307
DH_XVR5x16_Eng_P_V3.210.0001.7.R.20170218
DH_XVR5x16_Eng_P_V3.210.0001.3.R.20160914

DH_XVR5x16_Eng_P_V3.218.0000002.1.R.171229

XVR平台7x16

DH_XVR7x16_Eng_P_V3.218.0000001.2.R.170808
DH_XVR7x16_Eng_P_V3.210.0001.11.R.20170525
DH_XVR7x16_Eng_P_V3.210.0001.8.R.20170307
DH_XVR7x16_Eng_P_V3.210.0001.7.R.20170218
DH_XVR7x16_Eng_P_V3.210.0001.3.R.20160914

DH_XVR7x16_Eng_P_V3.218.0000002.1.R.171229

经过排查确认,摄像机产品受此安全漏洞影响的部分产品型号、版本和对应的修复程序如下表:

响型号

受影响版本

修复程序

IPC-HDBW4XXX

Build时间在2017/09之前的版本

DH_IPC-HX5X3X-Rhea_EngSpnFrn_N_Stream3_V2.622.0000000.18.R.20171110

DH_IPC-HX5X3X-Rhea_Eng_P_Stream3_V2.622.0000000.18.R.20171110

DH_IPC-HX5X3X-Rhea_Chn_PN_Stream3_V2.622.0000000.18.R.20171110

DH_IPC-HX4XXX-Eos_Chn_PN_Stream3_V2.621.0000.28.R.20170912

IPC-HDBW5XXX

Build时间在2017/09之前的版本

DH_IPC-HX5X3X-Rhea_EngSpnFrn_N_Stream3_V2.622.0000000.18.R.20171110

DH_IPC-HX5X3X-Rhea_Eng_P_Stream3_V2.622.0000000.18.R.20171110

DH_IPC-HX5X3X-Rhea_Chn_PN_Stream3_V2.622.0000000.18.R.20171110

DH_IPC-HX4XXX-Eos_Chn_PN_Stream3_V2.621.0000.28.R.20170912


 

版本获取途径:

请按照上述修复版本或更新版本下载升级。或联系大华区域技术支持人员进行升级。


联系渠道:

    关于大华股份产品和解决方案的问题,可以通过大华安全应急响应中心DHCC的邮箱:反馈给我们。 关于大华股份产品和解决方案的问题,可以通过大华安全应急响应中心DHCC的邮箱: cybersecurity@dahuatech.com反馈给我们。感谢fosec.vn团队的TigerPuma发现该问题并披露给DHCC。

更新记录:

    2018-05-22 UPDATE 更新影响范围及修复程序

    2018-03-16 INITIAL