Samsung SmartThings Hub多个漏洞 安全威胁通告
2018-08-01
综述
近日,Talos团队公布了多个关于Samsung SmartThings Hub的漏洞,包括命令注入、远程代码执行等高危漏洞,最高CVSS评分9.9。
详细信息可参考(搜索关键字 SmartThings):
https://www.talosintelligence.com/vulnerability_reports/#disclosed
漏洞概述
|
漏洞名称/类别 |
CVE |
CVSS评分 |
|
Video-core相机更新代码执行漏洞 |
CVE-2018-3903 CVE-2018-3904 |
9.9 |
|
Video-core凭证代码执行漏洞 |
CVE-2018-3873 CVE-2018-3878 |
9.9 |
|
Video-core凭证videoHostUrl代码执行漏洞 |
CVE-2018-3872 |
9.9 |
|
Video-core samsungWifiScan代码执行漏洞 |
CVE-2018-3863 CVE-2018-3866 |
9.9 |
|
HubCore 39500端口同步拒绝服务漏洞 |
CVE-2018-3918 |
6.5 |
|
Video-core相机代码执行漏洞 |
CVE-2018-3905 |
8.5 |
|
Video-core samsungWifiScan代码执行漏洞 |
CVE-2018-3867 |
9.9 |
|
Video-core 数据库代码执行漏洞 |
CVE-2018-3919 |
7.5 |
|
Video-core 数据库查询代码执行漏洞 |
CVE-2018-3880 |
8.2 |
|
Hubcore 39500端口头部注入漏洞 |
CVE-2018-3911 |
8.6 |
|
Video-core AWSELB Cookie代码之行漏洞 |
CVE-2018-3925 |
8.5 |
|
Video-core REST HTTP解析请求注入漏洞 |
CVE-2018-3907 CVE-2018-3909 |
9.1 |
|
Video-core 数据库shard.videoHostURL代码执行漏洞 |
CVE-2018-3906 |
7.5 |
|
hubCore ZigBee固件升级CRC16校验拒绝服务漏洞 |
CVE-2018-3926 |
5.3 |
|
Video-core 数据库代码执行漏洞 |
CVE-2018-3912 CVE-2018-3917 |
7.5 |
|
Video-core clips代码执行漏洞 |
CVE-2018-3893 CVE-2018-3897 |
9.9 |
|
HubCore Google Breakpad backtrace.io信息泄露漏洞 |
CVE-2018-3927 |
6.8 |
|
Video-core凭证解析SQL注入漏洞 |
CVE-2018-3879 |
8.8 |
|
Video-core RTSP配置命令注入漏洞 |
CVE-2018-3856 |
9.9 |
|
Video-core相机URL替换代码执行漏洞 |
CVE-2018-3902 |
9.9 |
受影响版本
l Samsung SmartThings Hub STH-ETH-250 固件版本 0.20.17
解决方案
Samsung SmartThings官方已经发布了新版本固件修复了上述漏洞,受影响的用户请及时更新进行防护。
参考链接:
https://support.smartthings.com/hc/en-us/articles/207316543-Is-my-Hub-s-firmware-up-to-date-
声 明
本安全公告仅用来描述可能存在的安全问题,44118太阳成城集团不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,44118太阳成城集团以及安全公告作者不为此承担任何责任。44118太阳成城集团拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经44118太阳成城集团允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于44118太阳成城集团
北京神州绿盟信息安全科技股份有限公司(简称44118太阳成城集团)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,44118太阳成城集团在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:44118太阳成城集团,股票代码:300369.
