Bezpečnostní oznámení - Zranitelnost přetečení bufferu HTTP v zařízeních NVR společnosti Hikvision

SN č. HSRC-201510-03

Edit: Hikvision Security Response Center (HSRC)

Datum prvního vydání: 09.11.2015

Shrnutí

Při zpracování zadaných požadavků HTTP po ověření identity (úspěšné přihlášení pomocí správného uživatelského jména a hesla) může u vybraných videorekordérů Hikvision NVR dojít k přetečení bufferu. To může mít za následek možné přerušení služeb pro uživatele.

Tato zranitelnost byla označena jako Common Vulnerabilities and Exposures (CVE).

ID č.: CVE-2015-4407, CVE-2015-4408 a CVE-2015-4409.

Dopad

Zneužitím těchto tří zranitelností mohou útočníci po úspěšném přihlášení k zařízení NVR pomocí správného uživatelského jména a hesla podstrčit škodlivé skripty HTTP a způsobit přerušení služby.

Předpoklad

Zařízení NVR lze připojit po přihlášení pomocí správného uživatelského jména a hesla.

Krok útoku

Útočníci mohou do vybraných zařízení NVR odesílat škodlivé skripty HTTP.

Verze softwaru a opravy

Název produktu

Napadené verze

Vyřešené verze

Řada DS-76xxNI-E1/2

Řada DS-77xxxNI-E4

v3.3.4 a starší

v3.4.0 a novější

Získání pevného firmwaru:

Uživatelé by si měli stáhnout aktualizovaný firmware, aby se chránili před těmito potenciálními zranitelnostmi. Je k dispozici na oficiálních stránkách společnosti Hikvision:（Klikněte zde）.

Kontaktujte nás

V případě bezpečnostních problémů týkajících se produktů a řešení společnosti Hikvision kontaktujte Hikvision Security Response Center na adrese hsrc@hikvision.com.

Kontakt

Hik-Partner Pro

Security Business Assistant. At Your Fingertips. Learn more

Scan and download the app

Download

Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.