语言选择
投资者关系

安全预警 - 部分大华产品存在Session ID可被预测漏洞

预警编号:DHCC-SA-202005-003

初始发布时间:2020-05-11

漏洞描述:

部分大华产品中存在Session ID可被预测漏洞,在用户正常访问期间,攻击者可通过预测到的sessionID构建数据包对设备进行攻击。

 

漏洞编号:

CVE-2020-9502

 

漏洞评分:

该漏洞使用CVSS v3标准进行分级评分( http://www.first.org/cvss/specification-document

CVE-2020-9502

基础得分:8.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

临时得分:7.9 E:P/RL:O/RC:C

 

影响范围及修复程序:

目前已知下列产品系列和型号受到影响:

影响型号

受影响版本

修复程序

IPC-HX2XXX 系列

Build时间在2019年12月之前的版本

DH_IPC-HX25(8)XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313

General_IPC-HX25(8)XX-Molec_MultiLang_PN_V2.800.0000000.15.R.200313

DH_IPC-HX25(8)XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313

General_IPC-HX25(8)XX-Molec_MultiLang_NP_V2.800.0000000.15.R.200313

IPC-HXXX5X4X系列

 

Build时间在2019年12月之前的版本

DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_PN_Stream3_V2.800.0000000.12.R.200319

DH_IPC-HX5XXX-Volt_MultiLang_NP_Stream3_V2.800.0000000.12.R.200319

IPC-HX5842H

Build时间在2019年12月之前的版本

DH_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324

DH_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_PN_Stream3_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_NP_Stream3_V2.800.0000000.5.R.200324

IPC-HX7842H

Build时间在2019年12月之前的版本

DH_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324

DH_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_NP_V2.800.0000000.5.R.200324

General_IPC-HX8XXX-Nobel_MultiLang_PN_V2.800.0000000.5.R.200324

NVR 5x系列

Build时间在2019年12月之前的版本

DH_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319   
General_NVR5XXX-4KS2_Chn_V4.001.0000000.1.R.200319 
General_NVR5XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319 
General_NVR5XXX-4KS2_Eng_V4.001.0000000.1.R.200319 
DH_NVR5XXX-4KS2_Chn_V4.001.0000000.1.R.200319

NVR 4x系列

Build时间在2019年12月之前的版本

General_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319   
DH_NVR4XXX-4KS2_MultiLang_V4.001.0000000.1.R.200319 
General_NVR4XXX-4KS2_Chn_V4.001.0000000.1.R.200319 
General_NVR4XXX-4KS2_Eng_V4.001.0000000.1.R.200319 
DH_NVR4XXX-4KS2_Chn_V4.001.0000000.1.R.200319

SD6AL系列

Build时间在2019年12月之前的版本

DH_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331

DH_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_Chn_PN_Stream3_V2.800.0000009.3.R.200331

DH_SD-Prometheus_MultiLang_NP_Stream3_V2.800.0000009.3.R.200331

General_SD-Prometheus_MultiLang_PN_Stream3_V2.800.0000009.3.R.200331

SD5A系列

SD1A系列

PTZ1A系列

SD50/52C系列

IPC-HDBW1320E-W

Build时间在2019年12月之前的版本

DH_IPC-HX2X3X-Rhea_MultiLang_NP_Stream2_V2.800.0000015.0.R.200430
DH_IPC-HX2X3X-Rhea_MultiLang_PN_Stream2_V2.800.0000015.0.R.200430
General_IPC-HX2X3X-Rhea_Eng_NP_Stream2_V2.800.0000015.0.R.200430
General_IPC-HX2X3X-Rhea_Eng_PN_Stream2_V2.800.0000015.0.R.200430

注:Build时间请登录设备Web界面,在“设置-系统信息-版本信息”页面查看。


版本获取途径:

请按照上述修复版本或更新版本下载升级。或联系大华区域技术支持人员进行升级。

l云升级 具备云升级能力的产品,相关修复版本均可以通过云升级获得。

l大华官网 中国:https://www.dahuatech.com/service/kitlists/301.html

l大华技术支持人员。


 

版本获取途径:

请按照上述修复版本或更新版本下载升级。或联系大华区域技术支持人员进行升级。


联系渠道:

    关于大华股份产品和解决方案的问题,可以通过大华安全应急响应中心DHCC的邮箱: cybersecurity@dahuatech.com反馈给我们。感谢University of Applied Sciences Offenburg的Thomas Vogt发现该问题并披露给DHCC。

更新记录:

    2020-05-11 INITIAL