首页服务支持网络安全安全通告

安全预警 - 部分大华产品存在拒绝服务漏洞

预警编号：DHCC-SA-202004-001

初始发布时间：2020-04-07

漏洞描述：

1． CVE-2020-9499：缓冲区溢出漏洞大华部分产品存在缓冲区溢出漏洞。在合法帐户登录成功后，攻击者发送构造的特定DDNS测试指令，可能使设备宕机。 2. CVE-2020-9500：拒绝服务漏洞大华部分产品存在拒绝服务漏洞。在合法帐户登录成功后，攻击者发送构造的特定日志查询指令，可能使设备宕机。

漏洞编号：

1. CVE-2020-9499

2. CVE-2020-9500

漏洞评分：

该漏洞使用CVSS v3标准进行分级评分（ http://www.first.org/cvss/specification-document）

1. CVE-2020-9499

基础得分：4.9(AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

临时得分：4.4(E:P/RL:O/RC:C)

2. CVE-2020-9500

基础得分：4.9(AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

临时得分：4.4(E:P/RL:O/RC:C)

影响范围及修复程序：

目前已知下列产品系列和型号受到影响：

影响型号	受影响版本	修复程序
IPC-HX2XXX 系列	Build时间在2019年12月之前的版本	DH_IPC-HX25(8)XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313 General_IPC-HX25(8)XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313 DH_IPC-HX25(8)XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313 General_IPC-HX25(8)XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313
IPC-HXXX5X4X系列	Build时间在2019年12月之前的版本	DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319 DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319 DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319 DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319
IPC-HX5842H	Build时间在2019年12月之前的版本	DH_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324 DH_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324 General_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324 General_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324
IPC-HX7842H	Build时间在2019年12月之前的版本	DH_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324 DH_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324 General_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324 General_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324
NVR 5x系列	Build时间在2019年12月之前的版本	DH_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319 General_NVR5XXX-4KS2_Chn_V4.001.0000000.1.R.200319 General_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319 General_NVR5XXX-4KS2_Eng_V4.001.0000000.1.R.200319 DH_NVR5XXX-4KS2_Chn_V4.001.0000000.1.R.200319
NVR 4x系列	Build时间在2019年12月之前的版本	General_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319 DH_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319 General_NVR4XXX-4KS2_Chn_V4.001.0000000.1.R.200319 General_NVR4XXX-4KS2_Eng_V4.001.0000000.1.R.200319 DH_NVR4XXX-4KS2_Chn_V4.001.0000000.1.R.200319
SD6AL系列	Build时间在2019年12月之前的版本	DH_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331 DH_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331 General_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331 General_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331 DH_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331 General_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331
SD5A系列
SD1A系列
PTZ1A系列
SD50/52C系列

注：Build时间请登录设备Web界面，在“设置-系统信息-版本信息”页面查看。

版本获取途径：

请按照上述修复版本或更新版本下载升级。或联系大华区域技术支持人员进行升级。

l 云升级具备云升级能力的产品，相关修复版本均可以通过云升级获得。

l 大华官网中国：https://www.dahuatech.com/service/kitlists/301.html。

l 大华技术支持人员。

联系渠道：

关于大华股份产品和解决方案的问题，可以通过大华安全应急响应中心DHCC的邮箱： cybersecurity@dahuatech.com反馈给我们。

更新记录：

2020-04-07　INITIAL