Bezpečnostní oznámení - bezpečnostní záplata u některých produktů Hikvision

Bezpečnostní oznámení - bezpečnostní záplata u některých produktů Hikvision

SN No.: HSRC-202109-01

Edit: HSRC (centrum bezpečnostní odpovědnosti Hikvision):

Datum prvního vydání: 2021-09-19

Download fixed firmware: Uživatelé zde mohou vyhledat firmware podle sériového čísla produktu. 

Summary:

Bezpečnostní chyba při připojení na server u některých produktů Hikvision. Kvůli nedostatečnému ověření vstupu může útočník tuto chybu zabezpečení zneužít k napadení zařízení zasláním zpráv se škodlivými příkazy.

CVE ID:

CVE-2021-36260

Bodování:

CVSS v3 je převzat do tohoto hodnocení zranitelnosti (http://www.first.org/cvss/specification-document)

Základní skóre: 9.8 (CVSS: 3,1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H)

Časové skóre: 8.8 (E:P/RL:O/RC:C)

Napadená verze a vyřešená verze:

Your device firmware is affected by this security vulnerability (CVE-2021-36260) if its version dated earlier than 210628. Please install the updates immediately. Informace o napadených a vyřešených verzích:

Název produktu

Napadená verze

DS-2CVxxx1
DS-2CVxxx6

Verze, které staví čas před 210625

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0E(C)

DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0(C)

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-2DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Vezre, které byly postavené před 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)
DS-HiWatchI-HWN-41xxMHxx(C)
DS-HiWatchI-HWN-42xxMHxx(C)

V4.30.210 Build201224 - V4.31.000 Build210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)
DS-HiWatchI-HWN-21xxMHxx(C)
DS-HiWatchI-HWN-21xxHxx(C)

V4.30.300 Build210221 - V4.31.100 Build210511

DS-2CD1x23G0 Versions before (not include) V5.5.0 build xxxxxx
DS-2CD2xx1G0
DS-2CD2xx1G1
DS-2CD2x27G1
DS-2CD2x27G3E
DS-2CD4xx6FWD (Non-ANPR)
DS-2CD4xx5G0
DS-2XE6xx5G0
DS-2XE6xx2F
DS-2XM6xx2FWD
DS-2XM6xx2G0
(i)DS-2DExxxx

 

Předpoklad:

Útočník má přístup k síti zařízení nebo má zařízení přímé rozhraní s internetem

Krok útoku:

Pošlete speciálně vytvořenou zprávu.

Získání pevného firmwaru:

Uživatelé by si měli stáhnout aktualizovaný firmware, aby se chránili před touto potenciální chybou zabezpečení. Je k dispozici na oficiálních stránkách Hikvision: Firmware download. Users can also use the Search Tool for Important Firmware Update to quickly detect critical vulnerabilities and download corresponding firmware.

Zdroj informací o zranitelnosti:

Tuto chybu zabezpečení nahlásil HSRC britský bezpečnostní výzkumník Watchful IP.

Contact Us:

Pokud máte problém nebo obavy o bezpečnost, obraťte se prosím na středisko HSRC na adrese hsrc@hikvision.com.

 

2021-09-19 V1.0 POČÁTEČNÍ

2021-09-23 V1.1 AKTUALIZOVÁNO: Aktualizované dotčené verze

2021-09-24 V1.2 AKTUALIZOVÁNO: Aktualizované dotčené verze

2021-11-08 V1.3 UPDATED: Aktualizované dotčené verze

2021-12-31 V1.4 UPDATED: Aktualizované dotčené verze

How-to Documents

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics and tailor our website’s content. For more information on cookie practices please refer to our cookie policy.

Kontakt
back to top

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.