【威胁通告】Samsung SmartThings Hub多个漏洞 包括代码执行漏洞等

近日，Talos团队公布了多个关于Samsung SmartThings Hub的漏洞，包括命令注入、远程代码执行等高危漏洞，最高CVSS评分9.9。

漏洞概述

漏洞名称/类别	CVE	CVSS评分
Video-core相机更新代码执行漏洞	CVE-2018-3903 CVE-2018-3904	9.9
Video-core凭证代码执行漏洞	CVE-2018-3873 CVE-2018-3878	9.9
Video-core凭证videoHostUrl代码执行漏洞	CVE-2018-3872	9.9
Video-core samsungWifiScan代码执行漏洞	CVE-2018-3863 CVE-2018-3866	9.9
HubCore 39500端口同步拒绝服务漏洞	CVE-2018-3918	6.5
Video-core相机代码执行漏洞	CVE-2018-3905	8.5
Video-core samsungWifiScan代码执行漏洞	CVE-2018-3867	9.9
Video-core 数据库代码执行漏洞	CVE-2018-3919	7.5
Video-core 数据库查询代码执行漏洞	CVE-2018-3880	8.2
Hubcore 39500端口头部注入漏洞	CVE-2018-3911	8.6
Video-core AWSELB Cookie代码之行漏洞	CVE-2018-3925	8.5
Video-core REST HTTP解析请求注入漏洞	CVE-2018-3907 CVE-2018-3909	9.1
Video-core 数据库shard.videoHostURL代码执行漏洞	CVE-2018-3906	7.5
hubCore ZigBee固件升级CRC16校验拒绝服务漏洞	CVE-2018-3926	5.3
Video-core 数据库代码执行漏洞	CVE-2018-3912 CVE-2018-3917	7.5
Video-core clips代码执行漏洞	CVE-2018-3893 CVE-2018-3897	9.9
HubCore Google Breakpad backtrace.io信息泄露漏洞	CVE-2018-3927	6.8
Video-core凭证解析SQL注入漏洞	CVE-2018-3879	8.8
Video-core RTSP配置命令注入漏洞	CVE-2018-3856	9.9
Video-core相机URL替换代码执行漏洞	CVE-2018-3902	9.9

受影响版本

• Samsung SmartThings Hub STH-ETH-250 固件版本20.17

解决方案

Samsung SmartThings官方已经发布了新版本固件修复了上述漏洞，受影响的用户请及时更新进行防护。

参考链接：

https://support.smartthings.com/hc/en-us/articles/207316543-Is-my-Hub-s-firmware-up-to-date-

详细信息可参考(搜索关键字 SmartThings)：

https://www.talosintelligence.com/vulnerability_reports/#disclosed

 

声 明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

 

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。