oe欧亿注册官方网站

安全公告-欧亿体育部分产品存在缓冲区溢出漏洞

公告编号:USRC-202112-01
初始发布时间:2021-12-22
漏洞概述:欧亿体育部分产品的7788 udp 端口存在缓冲区溢出漏洞风险。
漏洞编号:CVE-2021-45039
漏洞评分:
该漏洞使用CVSS v3标准进行分级评分(//www.first.org/cvss/specification-document)
基础得分:8.9 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:H)
临时得分:7.7 (E:P/RL:O/RC:R)

风险评估:
要利用此漏洞攻击设备,攻击者必须能够访问到设备7788 udp端口,否则无法利用此漏洞。
1.在路由器或防火墙后的设备,路由器或防火墙不会自动映射或默认映射该风险端口(7788 udp 端口),如果没有手动在网络或安全设备上映射7788 udp 端口,则设备不会受到互联网攻击者直接恶意攻击。
2.局域网内设备不会受到互联网攻击者直接的恶意攻击。

影响版本和修复版本:

受影响版本修复版本
QIPC-B9101.6.7.210705及之前版本QIPC-B9101.7.8.211207及之后版本
QIPC-B8701.9.7.210705及之前版本QIPC-B8701.10.7.211105及之后版本
IPC_Q6303-B0001P67D1907及之前版本IPC_Q6303-B0001P68D1907及之后版本
QIPC-B6302.2.8.210907及之前版本QIPC-B6302.2.10.211105及之后版本
QIPC-B6301.9.9.210828及之前版本QIPC-B6301.9.11.211105及之后版本
QIPC-B2202.3.35.210928及之前版本QIPC-B2202.3.65.211102及之后版本
QIPC-B2201.9.12.210827及之前版本QIPC-B2201.10.7.211105及之后版本
QIPC-B1208.7.7.210705及之前版本QIPC-B1208.8.7.211105及之后版本
QIPC-R1207.8.35.210705及之前版本QIPC-R1207.8.37.211122及之后版本
QIPC-R1206.9.32.210705及之前版本QIPC-R1206.9.36.211122及之后版本
QIPC-B1203.16.7.210708及之前版本QIPC-B1203.16.8.211105及之后版本
QIPC-R1201.30.36.210705及之前版本QIPC-R1201.30.38.211122及之后版本
HCMN-B2201.6.7.210705及之前版本HCM-B2201.7.7.211105及之后版本
HCMN-R2108.13.35.210705及之前版本HCMN-R2108.13.37.211122及之后版本
HCMN-R2103.28.36.210705及之前版本HCMN-R2103.28.38.211122及之后版本
GIPC-B6106.8.40.210705及之前版本GIPC-B6106.8.42.211122及之后版本
GIPC-B6103.16.35.210705及之前版本GIPC-B6103.16.37.211122及之后版本
GIPC-B6102.26.39.210705及之前版本GIPC-B6102.26.41.211122及之后版本
CIPC-B2302.3.35.210928及之前版本CIPC-B2302.3.65.211102及之后版本
CIPC-B2301.5.35.210705及之前版本CIPC-B2301.5.37.211122及之后版本
GIPC-B6202.5.38.211015及之前版本GIPC-B6202.5.65.211028及之后版本
GIPC-B6203.3.33.210924及之前版本GIPC-B6203.3.65.211028及之后版本
GIPC-B6110.5.6.210701及之前版本GIPC-B6110.5.10.211118及之后版本
DIPC-B1209.6.6.210701及之前版本DIPC-B1209.6.10.211118及之后版本
DIPC-B1211.6.12.210922及之前版本DIPC-B1211.6.15.211118及之后版本
DIPC-B1213.2.62.210930及之前版本DIPC-B1213.2.66.211210及之后版本
DIPC-B1216.2.60.210922及之前版本DIPC-B1216.2.63.211208及之后版本
DIPC-B1221.1.69.211103及之前版本DIPC-B1221.1.72.211210及之后版本
DIPC-B1222.1.62.210729及之前版本DIPC-B1222.1.66.211210及之后版本
DIPC-B1223.1.72.211029及之前版本DIPC-B1223.1.78.211209及之后版本
DIPC-B1225.1.63.211021及之前版本DIPC-B1225.1.67.211210及之后版本
IPC_G6107-B0001P97D1806及之前版本IPC_G6107-B0001P99D1806及之后版本
ITS_5212-B0009P07及之前版本ITS_5212-B0009P08及之后版本
ITS_5601-B0009及之前版本ITS_5601-B0010P01及之后版本
ITS_5603-B0013P01及之前版本ITS_5603-B0015P01及之后版本
ITS_5501-B0007及之前版本ITS_5501-B0008及之后版本
ITS_6201-B0007P13及之前版本ITS_6201-B0007P15及之后版本
ITS_6501-B0002P12及之前版本ITS_6501-B0002P15及之后版本
ITS-B7101.3.1.210129及之前版本ITS-B7101.5.0.211025及之后版本
ITS-B7102.6.0.210604及之前版本ITS-B7102.7.1.211124及之后版本
ITS-B7103.3.0.210708及之前版本ITS-B7103.5.1.211119及之后版本
PARK-B1205.5.1.211021及之前版本PARK-B1205.5.2.211027及之后版本
PARK-B2311.1.3.210803及之前版本PARK-B2311.2.0.211027及之后版本
QPTS-B2501.2.2.211102及之前版本QPTS-B2501.2.3.211115及之后版本

前提条件:
攻击者可连接到设备7788 UDP 端口。

攻击步骤:
发送特制的恶意报文。

版本获取途径:
请获取修复版本升级,如需帮助请联系设备购买渠道、欧亿400热线或区域售后服务人员。
具备云升级能力的产品,相关修复版本可以通过云升级获得。

漏洞来源:
感谢SSD Secure Disclosure发现该问题并报告给欧亿体育。

联系渠道:
关于欧亿体育产品和解决方案的安全问题,请通过 反馈给我们。

欧亿帮APP

欧亿帮APP
渠道合作伙伴量身定制