台灣電腦網路危機處理暨協調中心-TWCERT/CC

國內門禁設備商奇偶科技(GeoVision)門禁設備，近日針對部分門禁控制器型號的資安漏洞(CVE-2020-3928、CVE-2020-3929、CVE-2020-3930、CVE-2020-3931)進行修復並發布韌體更新，請相關用戶立即更新至最新版本。

GeoVision於7月8日發布相關產品資安公告，表示已修補CVE-2020-3928、CVE-2020-3929、CVE-2020-3930以及CVE-2020-3931等四個CVE編號之漏洞，資安漏洞包含：移除內含工程模式使用的帳號密碼；修正誤用同一組金鑰，導致有機會受中間人攻擊解析流量之問題；修正系統日誌未有良好的權限控管；以及因應緩衝區溢位狀況強化防護未經授權的網路惡意攻擊。建議相關用戶盡速更新設備韌體版本，避免因資安漏洞而遭受駭侵。

此外，若用戶於更新新版韌體上有任何問題或疑慮，可聯繫GeoVision的產品資安團隊協助處理：security@geovision.com.tw。

最新韌體版本下載路徑請點此；詳細韌體更新步驟，請參閱奇偶科技提供之GV-GF192x韌體更新步驟、GV-AS Controller韌體更新步驟及GV-AS1010韌體更新步驟。

• CVE編號：CVE-2020-3928、CVE-2020-3929、CVE-2020-3930 、CVE-2020-3931

• 影響產品版本：

GV-AS210型號v2.21之前版本

GV-AS410型號v2.21之前版本

GV-AS810型號v2.21之前版本

GV-GF192x型號v1.10之前版本

GV-AS1010型號v1.32之前版本

• 建議處理方式： 請立即更新到最新版本的韌體

• 資料來源：

TVN (Taiwan Vulnerability Note) 漏洞公告

https://www.twcert.org.tw/tw/lp-132-1-1-20.html

奇偶科技（GeoVision）提醒用戶更新韌體，以防治 GV-AS 舊版控制器中存在的資安漏洞

https://s3.amazonaws.com/geovision_downloads/Manual/e-letter/cybersecurity/0708/Cybersecurity_Upgrade-notice_ASController_TW.pdf