Informacja dla Partnerów - Security Notification- Command Injection Vulnerability in Some Hikvision products

19 września 2021

 

Szanowni Partnerzy,

 

W dniu dzisiejszym firma Hikvision udostępniła na swojej stronie internetowej aktualizację oprogramowania układowego (firmware), która usuwa krytyczną podatność na atak typu Command Injection w module web serwera niektórych produktów Hikvision. Szczegółowa lista podatnych produktów wraz z dokładną charakterystyką podatności znajduje się w dziale Cyberbezpieczeństwo na naszej stronie www.

 

Zdając sobie sprawę z faktu, że wielu naszych Partnerów może posiadać zainstalowany sprzęt, którego dotyczy opisywana podatność, bardzo gorąco zachęcamy Państwa do ścisłej współpracy z Państwa klientami w celu jak najszybszego wykonania aktualizacji oprogramowania i tym samym zapewnienia najwyższego poziomu bezpieczeństwa systemów Państwa klientów.

 

Pragniemy także przekazać Państwu więcej szczegółów dotyczących opisywanej sytuacji aby podkreślić nasze pełne zaangażowanie w poprawę bezpieczeństwa cybernetycznego Państwa instalacji. W czerwcu b.r. skontaktowała się z nami organizacja badawcza Watchful IP, która zgłosiła potencjalną podatność w jednej z naszych kamer IP. Po potwierdzeniu zasadności zgłoszenia firma Hikvision rozpoczęła natychmiastową i bezpośrednią współpracę z Watchful IP w celu opracowania, weryfikacji i udostępnienia skutecznej poprawki dla wszystkich podatnych urządzeń, zgodnie ze standardami procesu skoordynowanego ujawniania i publikacji podatności.

 

Na dzień dzisiejszy zgłoszona w wyżej opisanym raporcie podatność została usunięta w najnowszej wersji oprogramowania układowego, która jest dostępna na oficjalnej stronie internetowej Hikvision (link podany wyżej).

 

Ponadto, firma Hikvision, jako jednostka systemu oznaczania podatności i narażeń CVE CNA (Common Vulnerabilities and Exposures Numbering Authority), zobowiązała się do ścisłej, ciągłej współpracy z podmiotami typu white-hat hacker („etyczni hakerzy”) oraz innymi organizacjami badającymi bezpieczeństwo cybernetyczne w celu skutecznego wyszukiwania, naprawiania, ujawniania i wydawania aktualizacji oprogramowania w najszybszym możliwym terminie, zależnym od możliwości zarządzania podatnościami przez nasze firmy partnerskie w ramach systemu CVE CNA.

 

Firma Hikvision ściśle przestrzega obowiązującego prawa i standardów we wszystkich krajach i regionach, a nasze działania podejmowane dla zapewnienia bezpieczeństwa cybernetycznego produktów daleko wykraczają poza oficjalne i normatywne wymagania.

 

W przypadku jakichkolwiek wątpliwości lub pytań zachęcamy do kontaktu z zespołem Hikvision Poland Sp. z o.o. oraz mailowo na info.pl@hikvision.com

 

Powiązane treści

Ten serwis korzysta z plików cookies. Są one stosowane w celu zapamiętywania prywatnych ustawień użytkownika, oraz wygodniejszego i płynniejszego użytkowania portalu. Korzystając z serwisu wyrażasz zgodę na używanie cookies. Ustawienia te mogą być zmienione w każdej chwili w opcjach przeglądarki.  Polityka Plików Cookie i Polityka Prywatności.

Skontaktuj się z nami