BVMS中VIDEOJET解码器的信息公开及运营商客户端应用

raybet雷竞技ios下载博世- sa - 464066 - bt

咨询信息

咨询ID:raybet雷竞技ios下载博世- sa - 464066 - bt
CVE数字和CVSS v3.1分数:
- cve - 2022 - 32540
  - 基础分数:7.4(高)
发表:2022年9月21日
最后更新:2022年9月21日

总结

BVMS运营商客户端应用程序或VIDEOJET解码器VJD-7513可能会收到一个未加密的通过摄像头进行直播，这使得中间人攻击者可以破坏机密视频流。

只有与CPP13或CPP14平台的摄像头结合使用时才会发生这种情况。当配置UDP加密连接时，默认值为x。请注意，加密的UDP连接是BVMS中所有摄像头的默认设置(«安全连接»设置)。

BVMS系统中使用的解码器仅在BVMS版本高于或等于10.1.0时受到影响，因为较旧的BVMS版本不支持摄像头和解码器之间的UDP连接。独立解码器仅在为摄像机流选择了安全标志和UDP组播时才会受到影响。

有关详细信息，请参阅本咨询中对漏洞的描述。

raybet雷竞技ios下载Bosch将此漏洞的CVSSv3.1基础评分为7.4(高)，其中最终评分取决于客户的环境。

强烈建议客户将软件更新到固定版本或考虑列出的缓解措施。

受影响的产品

raybet雷竞技ios下载Bosch BVMS 10.1 <= 10.1.1
raybet雷竞技ios下载Bosch BVMS 11.0 <= 11.0.0
raybet雷竞技ios下载Bosch BVMS 11.1 <= 11.1.0
raybet雷竞技ios下载Bosch VJD-7513 10.23.0002
raybet雷竞技ios下载博世VJD-7513 10.30.0005

解决方案和缓解措施

软件更新

建议将受影响的博世软件和硬件固件更新到固定版本。raybet雷竞技ios下载有关受影响版本和可用更新的列表，请参阅附录。

将更新应用到BVMS后，需要重新启动。要检查更新是否已成功应用，请检查配置客户端或操作员客户端菜单«帮助»->«关于…»>«版本»。

如果更新不适用于目标环境，建议用户采取以下部分中描述的缓解措施。

仅更新运营商客户端

如果整个BVMS系统无法更新到最新版本，将操作员客户端工作站更新到11.1.1版本就足够了，这可以解决这个问题并确保向后兼容性。操作员客户端的更新必须在每台机器上手动完成，因为没有从中央BVMS中央服务器自动部署。

使用TCP加密而不是UDP

当无法进行软件更新时，建议客户将BVMS系统配置为TCP协议:

在配置客户端中使用工作站设置的相机。这将强制所有摄像机使用TCP协议，即使它们没有受到本通知中描述的漏洞的影响。
对于使用操作员客户端中相机特定上下文菜单的相机，仅对受影响的相机启用TCP协议。这是必须为每个BVMS用户的每个摄像机执行的一次性操作。
对于使用解码器设置的解码器，在配置客户端对话框中使用TCP视频流。

要了解关于在BVMS配置客户端中配置TCP设置的更多信息，请参阅BVMS配置手册:

章节«工作站页面»->«设置页面»(12.7.5)
《编辑编码器/解码器页面》(12.8.2)

要了解在BVMS操作员客户端中配置TCP设置的更多信息，请参阅BVMS操作手册:

«使用TCP进行可靠连接»(6.33)

如果由于摄像头数量的原因，TCP加密在客户环境中不可用，建议客户联系客户支持。

保护网络免受未经授权的访问

建议保护网络基础设施设备，包括路由器、防火墙、交换机，并防止未经授权的行为者能够监控、修改和拒绝来自客户网络内设备和服务的流量。网络管理员应结合法律、法规和行业最佳实践，实施以下建议:

分割和隔离网络。
通过测试补丁、关闭路由器和交换机上不必要的业务、执行强密码策略等措施，对网管设备进行加固。
监控网络，查看日志。
验证硬件的完整性。

漏洞细节

cve - 2022 - 32540

CVE描述:BVMS 10.1.1, 11.0和11.1.0和VIDEOJET Decoder VJD-7513版本10.23和10.30中的运营商客户端应用程序中的信息泄露允许中间人攻击者破坏机密视流。

这只适用于UDP加密，当目标系统包含平台CPP13或CPP14的摄像头和固件版本8.x。

问题类型:
- CWE-200敏感信息泄露给未经授权的行为者
CVSS矢量字符串:CVSS: 3.0 / AV: N /交流:H /公关:UI: N / N / S: U / C: H /我:H: N
- 基础分数:7.4(高)

讲话

安全更新信息

关于指令(EU) 2019/770和指令(EU) 2019/771及其国家转换法，请注意:

您有责任下载和/或安装我们提供的任何安全更新，例如维护产品或数据安全。如果您未能在合理的时间内安装提供给您的安全更新，我们将不对仅因缺乏该安全更新而导致的任何产品缺陷承担责任。

或者，无论您的设置如何，我们都有权直接下载和/或安装安全更新。在这种情况下，我们将向您提供相关信息，例如在本安全建议中。

CVSS分数

漏洞分类已使用CVSS v3.1评分系统．CVSS环境评分针对每个客户的环境，应由客户定义以获得最终评分。

额外的资源

[1] BVMS下载区:https://downloadstore.raybet雷竞技ios下载boschsecurity.com/index.php?type=BVMS
[2] BVMS查看器下载区:https://downloadstore.raybet雷竞技ios下载boschsecurity.com/index.php?type=BVMSVWR
[3] BVMS Appliances (DIVAR IP)下载区:https://downloadstore.raybet雷竞技ios下载boschsecurity.com/?type=DIPBVMS
[4] VJD下载区:https://downloadstore.raybet雷竞技ios下载boschsecurity.com/?type=DEC

如果您对此漏洞有反馈、评论或其他信息，raybet雷竞技ios下载请通过以下地址联系博世PSIRT:psirt@raybet雷竞技ios下载bosch.com．

修订历史

2022年9月21日:首次出版

附录

受影响的产品

BVMS

影响版本	修复漏洞的版本名称
11.1.0	BVMS 11.1.1 Lite-Plus-Professional安装
11.0.0.1025	BVMS 11.1.1 Lite-Plus-Professional安装
10.1.1.12	BVMS 11.1.1 Lite-Plus-Professional安装
10.0及以下	不支持CPP13/14平台的摄像头。当此类摄像机被添加到BVMS系统中时，考虑遵循更新/缓解指示。

BVMS下载区

BVMS查看器

影响版本	修复漏洞的版本名称
11.1.0	BVMS查看器11.1.1设置
11.0.0.1025	BVMS查看器11.1.1设置
10.1.1.12	BVMS查看器11.1.1设置

BVMS查看器下载区

raybet雷竞技ios下载博世DIVAR IP all-in-one 7000 R3

BVMS版本影响	修复漏洞的版本名称
11.0.0.1025	- 73 _installer_for_bvms11.1.1.zip
10.1.1.12	- 73 _installer_for_bvms11.1.1.zip

BVMS设备下载区

raybet雷竞技ios下载博世DIVAR IP 7000 R2

BVMS版本影响	修复漏洞的版本名称
11.0.0.1025	BVMS 11.1.1 Lite-Plus-Professional安装
10.1.1.12	BVMS 11.1.1 Lite-Plus-Professional安装

BVMS下载区

raybet雷竞技ios下载Bosch DIVAR IP all-in-one 5000

BVMS版本影响	修复漏洞的版本名称
11.0.0.1025	BVMS 11.1.1 Lite-Plus-Professional安装
10.1.1.12	BVMS 11.1.1 Lite-Plus-Professional安装

BVMS下载区

raybet雷竞技ios下载博世DIVAR IP all-in-one 7000

BVMS版本影响	修复漏洞的版本名称
11.0.0.1025	BVMS 11.1.1 Lite-Plus-Professional安装
10.1.1.12	BVMS 11.1.1 Lite-Plus-Professional安装

BVMS下载区

raybet雷竞技ios下载博世VIDEOJET解码器VJD-7513

受影响的VJD-7513固件	修复漏洞的版本名称
10.30.0005	10.31.0005
10.23.0002	10.31.0005

VIDEOJET解码器下载区

材料列表

BVMS

姓	卡通	SAP #	材料描述
BVMS Professional 11.1	MBV-BPRO	F.01U.393.647	专业基地
BVMS Plus 11.1	MBV-BPLU	F.01U.393.650	许可证加基础
BVMS Viewer 11.1	MBV-BVWR	F.01U.393.649	许可证查看器
BVMS Lite 11.1	MBV-BLIT	F.01U.393.648	License Lite基础
BVMS Professional 11.0	MBV-BPRO	F.01U.393.647	专业基地
BVMS + 11.0	MBV-BPLU	F.01U.393.650	许可证加基础
BVMS查看器11.0	MBV-BVWR	F.01U.393.649	许可证查看器
BVMS Lite 11.0	MBV-BLIT	F.01U.393.648	License Lite基础
BVMS Professional 10.1	mbv - bpro - 101	F.01U.389.492	专业基地
BVMS企业版10.1	mbv -弯曲- 101	F.01U.389.506	企业基地
BVMS Plus 10.1	mbv - bplu - 101	F.01U.389.477	许可证加基础
BVMS Viewer 10.1	mbv - bvwr - 101	F.01U.389.508	许可证查看器
10.1 . BVMS Lite16	mbv -位块传输- 101	F.01U.389.465	License Lite基础
BVMS Professional 10.0	mbv - bpro - 100	F.01U.362431	专业基地
BVMS企业10.0	mbv -弯曲- 100	F.01U.362432	企业基地
BVMS加10.0	mbv - bplu - 100	F.01U.362445	许可证加基础
BVMS查看器10.0	mbv - bvwr - 100	F.01U.362471	许可证查看器
BVMS Lite 10.0	mbv -位块传输- 100	F.01U.362455	License Lite基础

raybet雷竞技ios下载博世DIVAR IP 7000 R2

姓	卡通	SAP #	材料描述
Divar IP 7000 r2	- 7180 - 00 - n	F.01U.314.520	DIVAR IP 7000 2U w/o HDD
Divar IP 7000 r2	- 7183 - 4 -高清	F.01U.314.521	DIVAR IP 7000 2U 4x3TB
Divar IP 7000 r2	- 7183 - 8 -高清	F.01U.314.522	DIVAR IP 7000 2U 8x3TB
Divar IP 7000 r2	- 7184 - 4 -高清	F.01U.314.523	DIVAR IP 7000 2U 4x4TB
Divar IP 7000 r2	- 7184 - 8 -高清	F.01U.314.524	DIVAR IP 7000 2U 8x4TB
Divar IP 7000 r2	- 71 - f0 - 00 - n	F.01U.314.525	DIVAR IP 7000 3U w/o硬盘
Divar IP 7000 r2	- 71 - f3 - 16 -高清	F.01U.314.526	DIVAR IP 7000 3U 16x3TB
Divar IP 7000 r2	- 71 - f4 - 16 -高清	F.01U.314.527	DIVAR IP 7000 3U 16x4TB
Divar IP 7000 r2	- 7186 - 8 -高清	F.01U.329.143	DIVAR IP 7000 2U 8x6TB
Divar IP 7000 r2	- 7188 - 8 -高清	F.01U.329.144	DIVAR IP 7000 2U 8x8TB
Divar IP 7000 r2	- 71 - f6 - 16 -高清	F.01U.329.145	DIVAR IP 7000 3U 16x6TB
Divar IP 7000 r2	- 71 - f8 - 16 -高清	F.01U.329.146	DIVAR IP 7000 3U 16x8TB
Divar IP 7000 r2	- 7184 - 8 - hd -摇	F.01U.343.277	DIVAR IP 7000 2U 8x4TB, WAG套件

raybet雷竞技ios下载Bosch DIVAR IP all-in-one 5000

姓	卡通	SAP #	材料描述
DIVAR IP all-in-one 5000	- 5240 - ig - 00 - n	F.01U.361.821	管理设备w/o硬盘
DIVAR IP all-in-one 5000	- 5244 - ig - 4 -高清	F.01U.362.424	管理设备4x4TB
DIVAR IP all-in-one 5000	- 5248 - ig - 4 -高清	F.01U.362.423	管理设备4x8TB
DIVAR IP all-in-one 5000	- 524 -是到岸价4高清	F.01U.362.422	管理设备4x12TB
DIVAR IP all-in-one 5000	- 5240 - gp - 00 - n	F.01U.359.551	管理设备GPU和高清
DIVAR IP all-in-one 5000	- 5244 - gp - 4 -高清	F.01U.359.552	管理设备图形处理器4x4TB
DIVAR IP all-in-one 5000	- 5248 - gp - 4 -高清	F.01U.359.553	管理设备图形处理器4x8TB
DIVAR IP all-in-one 5000	- 524 -本金保证产品- 4 -高清	F.01U.359.554	管理设备图形处理器4x12TB

raybet雷竞技ios下载博世DIVAR IP all-in-one 7000

姓	卡通	SAP #	材料描述
DIVAR IP all-in-one 7000	- 7280 - 00 - n	F.01U.362.591	2U管理设备w/o HD
DIVAR IP all-in-one 7000	- 7284 - 8 -高清	F.01U.362.592	2U管理设备8x4TB
DIVAR IP all-in-one 7000	- 7288 - 8 -高清	F.01U.362.593	2U管理设备8x8TB
DIVAR IP all-in-one 7000	- 728 c - 8高清	F.01U.362.594	2U管理设备8x12TB
DIVAR IP all-in-one 7000	- 72 - g0 - 00 - n	F.01U.362.595	3U管理设备和硬盘
DIVAR IP all-in-one 7000	- 72 - g8 - 16 -高清	F.01U.362.596	3U管理设备16x8TB
DIVAR IP all-in-one 7000	- 72 - gc - 16 -高清	F.01U.362.597	3U管理设备16x12T

DIVAR IP all-in-one 7000 R3

姓	卡通	SAP #	材料描述
DIVAR IP all-in-one 7000	- 7380 - 00 - n	F.01U.385.539	管理设备2U没有HD
DIVAR IP all-in-one 7000	- 7384 - 8 -高清	F.01U.385.540	管理设备2U 8X4TB
DIVAR IP all-in-one 7000	- 7388 - 8 -高清	F.01U.385.541	管理设备2U 8x8tb
DIVAR IP all-in-one 7000	- 738 c - 8高清	F.01U.385.542	管理设备2U 8x12tb
DIVAR IP all-in-one 7000	- 73 - g0 - 00 - n	F.01U.385.543	管理设备3U无高清
DIVAR IP all-in-one 7000	- 73 - g8 - 16 -高清	F.01U.385.544	管理设备3U 16X8TB
DIVAR IP all-in-one 7000	- 73 - gc - 16 -高清	F.01U.385.545	管理设备3U 16x12tb

vjd - 7513

姓	卡通	SAP #	材料描述
VIDEOJET解码器7000	vjd - 7513	F.01U.345.382	高性能H.265超高清解码器