语言选择
投资者关系

安全预警 - 部分大华产品存在安全风险

预警编号:DHCC-SA-201909-001

初始发布时间:2019-09-14

漏洞描述:

1. 部分大华产品的CGI接口的特定字段未进行严格验证,攻击者可通过构造恶意数据包导致缓冲区溢出。 2. 部分大华产品在登录过程中存在拒绝服务问题。攻击者可通过构造恶意数据包造成设备宕机。 3. 部分大华产品Debug功能未做权限分离,低权限用户登录后可使用Debug功能。 4. 部分大华产品存在信息泄露问题,攻击者可通过构造恶意数据包获取设备的IP地址、设备型号信息。 5. 部分大华产品固件包中在线升级信息未加密,攻击者可通过特定手段分析固件包获取该信息。

 

漏洞编号:

1. CVE-2019-9677

2. CVE-2019-9678

3. CVE-2019-9679

4. CVE-2019-9680

5. CVE-2019-9681

 

漏洞评分:

该漏洞使用CVSS v3标准进行分级评分( http://www.first.org/cvss/specification-document)

1. CVE-2019-9677

基础得分:基础得分:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

临时得分:临时得分:9.4(E:H/RL:O/RC:C)

2. CVE-2019-9678

基础得分:基础得分:7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

临时得分:临时得分:7.2(E:H/RL:O/RC:C)

3. CVE-2019-9679

基础得分:基础得分:8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

临时得分:临时得分:8.4(E:H/RL:O/RC:C)

4. CVE-2019-9680

基础得分:基础得分:5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

临时得分:临时得分:5.1(E:H/RL:O/RC:C)

5. CVE-2019-9681

基础得分:基础得分:5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

临时得分:临时得分:5.1(E:H/RL:O/RC:C)

 

影响范围及修复程序:

目前已知下列产品系列和型号受到影响:

影响型号

受影响版本

修复程序

IPC-HDW1X2X

IPC-HFW1X2X

IPC-HDW2X2X

IPC-HFW2X2X

Build时间在2019年9月之前的版本

DH_IPC-HX1X2X-Themis_Eng_P_V2.620.0000003.0.R.190910.zip

DH_IPC-HX1X2X-Themis_EngSpn_N_V2.620.0000003.0.R.190910.zip

IPC-HDW4X2X

IPC-HFW4X2X

IPC-HDBW4X2X

Build时间在2019年9月之前的版本

DH_IPC-HX4X2X-Themis_Eng_P_Stream3_V2.620.0000003.0.R.190910.zip

DH_IPC-HX4X2X-Themis_EngSpn_N_Stream3_V2.620.0000003.0.R.190910.zip

DH_IPC-HX4X2X-Themis_Chn_PN_Stream3_Wifi_V2.620.0000003.0.R.190910.zip

IPC-HDW5X2X

IPC-HFW5X2X

Build时间在2019年9月之前的版本

DH_IPC-HX5X2X-Themis_Eng_P_Stream3_V2.620.0000003.0.R.190910.zip

DH_IPC-HX5X2X-Themis_EngSpn_N_Stream3_V2.620.0000003.0.R.190910.zip

DH_IPC-HX5X2X-Themis_Chn_PN_Stream3_V2.620.0000003.0.R.190910.zip

注:Build时间请登录设备Web界面,在“设置-系统信息-版本信息”页面查看。


版本获取途径:

请按照上述修复版本或更新版本下载升级。或联系大华区域技术支持人员进行升级。

l 云升级 具备云升级能力的产品,相关修复版本均可以通过云升级获得。

l 大华官网 中国:https://www.dahuatech.com/service/kitlists/301.html

l 大华技术支持人员。

 

联系渠道:关于大华股份产品和解决方案的问题,可以通过大华安全应急响应中心DHCC的邮箱: cybersecurity@dahuatech.com反馈给我们。


 

更新记录:

    2019-09-14 INITIAL