在博世不当证书验证智能家居系统iOS应用程序raybet雷竞技ios下载

咨询信息

• 咨询ID:raybet雷竞技ios下载博世- sa - 347336
• CVE编号和CVSS v3.1分数:
  • cve - 2020 - 6781
    • 基础分数:6.8(中)
• 发表:2020年8月25日
• 最后更新:2020年8月25日

总结

一个最近发现的安全漏洞影响博世智能家居系统iOS应用程序。raybet雷竞技ios下载两个博世智raybet雷竞技ios下载能家居相机应用程序以及博世智能家居系统Android应用程序不受影响。它可能允许拦截视频内容通过执行一个中间人攻击。因为只有博世的视频连接后端可能受到影响,这个漏洞只适raybet雷竞技ios下载用于客户配对博世相机博世的智能家居控制器(自燃)。raybet雷竞技ios下载博世智能家居利率这个漏洞CVSS v3.1基础分数为6.8(中)和建议客户升级应用程序更新版本。

2020-07-22,更新程序版本是可用的和通过苹果应用商店提供给所有客户。

2020-08-12,目前还没有迹象表明该漏洞被利用。

漏洞被发现在一个定期的内部安全测试。

受影响的产品

• raybet雷竞技ios下载博世智能家居< 9.17.1:iOS

解决方案和移植

应用程序更新

推荐的方法是更新应用程序到一个固定的版本,也就是说,9.17.1或更高。更新应用程序可用,通过苹果应用商店提供给所有客户。

没有用户交互

自漏洞只会影响客户,成对博世相机自燃,需要用户交互,客户可能不使用相机功能的应用或删除人体自燃现象的相机。raybet雷竞技ios下载

漏洞细节

cve - 2020 - 6781

这个漏洞被归为“不当证书验证”,位于TLS客户机设置到博世相机后端系统的连接。raybet雷竞技ios下载它是因此列为“cwe - 295:不当证书验证”。修复确保适当的证书验证。该漏洞可以用来检索或修改信息之间交换博世智能家居系统iOS应用程序和博世相机后端系统,例如视频剪辑,视频预览缩略图或视频直播流。raybet雷竞技ios下载这种攻击的必要的先决条件是在应用程序和后端之间的网络路径,允许一个中间人的场景。

CVE描述:不当证书验证某些连接在博世智能家居系统iOS应用程序之前版本9.17.1可能允许拦截视频内容通过执行一个中间人攻击。raybet雷竞技ios下载

• 问题类型:
  • cwe - 295证书验证不当
• CVSS向量字符串:CVSS: 3.1 / AV: N /交流:H /公关:N / UI: R / S: U / C: H /我:H: N
  • 基础分数:6.8(中)

备注

脆弱性分类进行使用CVSS v3.1评分系统。CVSS环境得分是特定于每个客户的环境,应该定义为客户达到最终得分。

额外的资源

请联系博世PSIRT如果你有反馈,评论raybet雷竞技ios下载,或额外的信息关于这个漏洞:psirt@raybet雷竞技ios下载bosch.com。

修订历史

• 2020年8月25日:首次出版