Notificación de seguridad: vulnerabilidad de desbordamiento de búfer en dispositivos Hikvision DVR

Número de serie: HSRC-201411-02

Fecha de lanzamiento inicial: 2014-11-28

Fecha de lanzamiento de la actualización: 2014-12-06

Resumen

Mientras se procesan solicitudes RTSP específicas, pueden ocurrir vulnerabilidades de desbordamiento de búfer para DVR de Hikvision seleccionados, lo que puede resultar en una posible interrupción del servicio para los usuarios.

A estos problemas se les ha asignado el ID de vulnerabilidades y exposiciones comunes (CVE):

CVE-2014-4878, CVE-2014-4879 y CVE-2014-4880.

Versiones de software y correcciones

Product Name	Versión afectada	Versión resuelta
DS-7100HWI-SL(SH)	V2.2.15_build 141025 y versiones anteriores	V2.2.15_build 141126 y versiones recientes
DS-7100HVI-SL(SH)	V2.2.15_build 141025 y versiones anteriores	V2.2.15_build 141126 y versiones recientes
DS-7200HWI-SH(SL)	V3.1.3_build 141103 y versiones anteriores	V3.1.3_build 141126 y versiones recientes
DS-7200HFI-SH
DS-7200HVI-SV
DS-7200HWI-E1(/C)	V3.1.3_build 141103 y versiones anteriores	V3.1.3_build 141126 y versiones recientes
DS-7200HWI-E2(/C)
DS-7300HWI-E4(/C)
DS-7300HWI(HFI)-SH	V3.1.3_build 141103 y versiones anteriores	V3.1.3_build 141126 y versiones recientes
DS-7600NI-SE(/N)(/P)	V3.0.9_build 140928 y versiones anteriores	V3.0.10_build 141125 y versiones recientes
DS-7600NI-V(VP)	V3.0.9_build 140928 y versiones anteriores	V3.0.10_build 141125 y versiones recientes
DS-7600NI-E1(/N)(/P)	V3.0.8_build 140825 y versiones anteriores	V3.0.10_build 141126 y versiones recientes
DS-7600NI-E2(/N)(/P)
DS-7700NI-E4(/N)(/P)
DS-80/81/90/91xxHFI-ST	V3.1.6_build 140928 y versiones anteriores	V3.1.7_build 141201 y versiones recientes
DS-80/81/90/91/92xxHWI-ST
DS-90/91xxHFI-RT
DS-90/91xxHFI-XT
DS-76/77/86/96xxNI-ST
DS-96xxNI-RT
DS-96xxNI-XT
DS-76/77xxNI-SP
DS-7200HWI-SV
DS-7100HGHI-SH	V3.1.0_build 141121 y versiones anteriores	V3.1.1_build 141128 y versiones recientes
DS-7100HQHI-SH
DS-7200HGHI-SH
DS-7200HQHI-SH
DS-7300HGHI-SH
DS-7300HQHI-SH
DS-8100HGHI-SH
DS-8100HQHI-SH
DS-7200HWI-Ex/C/F	V3.1.2_build 140925	V3.1.2_build 141206 y versiones recientes
DS-7200HVI-SH	V2.2.4_build 130625 y versiones anteriores	V2.2.4_build 141206 y versiones recientes
DS-7204HWI-SV	V2.2.4_build 130625 y versiones anteriores	V2.2.4_build 141206 y versiones recientes
DS-7300HFI-ST	V2.1.2_build 130830 y versiones anteriores	V2.1.2_build 141206 y versiones recientes
DS-7300HI-ST
DS-8100HDI-ST
DS-6700HWI(-SATA)	V1.2.1 build140913 y versiones anteriores	V1.2.3 build 141203 y versiones recientes
DS-6700HFI(-SATA)	V1.2.1 build140913 y versiones anteriores	V1.2.3 build 141203 y versiones recientes
DS-7100NI-SN(/N)(/P)	V3.0.7_build 140725 y versiones anteriores	V3.0.10_build 141128 y versiones recientes
DS-7600NI-SN(/N)(/P)	V3.0.5_build 140508	V3.0.10_build 141127 y versiones recientes
DS-8100HCI(HFSI)(HWSI)-SH	V3.1.3_build 141103 y versiones anteriores	V3.1.3_build 141126 y versiones recientes
DS-7100NI-SL	V2.3.4_build 131024 y versiones anteriores	V3.0.10_build141224 y versiones recientes
DS-7104NI-SL/W	V2.3.7_build140523 y versiones anteriores	V2.3.8_build141224 y versiones recientes
DS-7600HI-ST	V2.3.7_build 140904 y versiones anteriores	V3.0.11_150319 y versiones recientes
DS-7200HFHI-SL(ST)(SE)	V3.0.0_build140425 y versiones anteriores	V3.0.0_build141202 y versiones recientes
DS-7300HFHI-SL(ST)
DS-8100HFHI-SL(ST)

Impacto

Al explotar estas tres vulnerabilidades, los atacantes pueden plantar scripts en el sistema de archivos para crear interrupciones en el servicio.

Detalles Técnicos

Condición previa

Los dispositivos DVR deben estar conectados a una red con acceso externo.

Paso de ataque

El atacante envía scripts maliciosos a los dispositivos DVR.

Obtención de software fijo

Los usuarios pueden descargar el firmware actualizado en el sitio web oficial de Hikvision:（Clic aquí）.

Método de contactos

Para problemas de seguridad con los productos y soluciones de Hikvision, comuníquese con: hsrc@hrbaojie.com.

918博天堂·(中国区)首页

Notificación de seguridad: vulnerabilidad de desbordamiento de búfer en dispositivos Hikvision DVR

Notificación de seguridad: vulnerabilidad de desbordamiento de búfer en dispositivos Hikvision DVR

Get a better browsing experience