人生就是博

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】飞利浦 Vue PACS 7月多个清静误差

宣布时间 2021-07-13

0x00 误差概述

2021年7月6日，，，，，，美国网络清静和基础设施清静局 (CISA) 宣布清静通告，，，，，，披露了飞利浦 Vue 医疗产品中的15个清静误差。。这些误差会影响多款飞利浦临床医学协作平台门户 (Vue PACS）产品，，，，，，包括 MyVue、Vue Speech 和 Vue Motion 等。。

飞利浦 Vue PACS属于公共医疗康健领域的基础设施。。未经授权的攻击者可用使用这些误差执行恣意代码、更改系统的预期控制流程、会见敏感信息或导致系统瓦解。。

0x01 误差详情

在本次披露的15个误差中，，，，，，绝大部分都可被远程使用，，，，，，并且攻击重漂后低。。别的，，，，，，有部分误差保存于第三方组件中，，，，，，详情如下：

CVE ID	形貌	CVSS评分	是否远程使用	攻击重漂后
CVE-2020-1938	不准确的输入验证。。	9.8	是	低
CVE-2018-12326、CVE-2018-11218	内存缓冲区规模内的操作限制不当。。此误差保存于第三方软件组件 (Redis) 中。。	9.8	是	低
CVE-2020-4670	认证过失。。此误差保存于第三方软件组件 (Redis) 中。。	9.8	是	低
CVE-2018-8014	资源的不清静默认初始化。。	9.8	是	低
CVE-2021-33020	使用逾期的密钥。。	8.2	是	低
CVE-2018-10115	资源初始化不当。。此误差保存于第三方软件组件 (7-Zip) 中。。	7.8	否	低
CVE-2021-27501	不准确遵守编码标准。。	7.5	是	高
CVE-2021-33018	使用损坏的或有危害的密码算法，，，，，，可能会导致敏感信息袒露。。	6.5	是	高
CVE-2021-27497	�；；；；；；せ剖�。。	6.5	是	高
CVE-2012-1708	数据完整性问题。。此误差保存于第三方软件组件（Oracle 数据库）中。。	6.5	是	低
CVE-2015-9251	XSS	6.1	是	低
CVE-2021-27493	不可确保结构化新闻或数据名堂准确并知足某些清静属性。。	6.1	是	低
CVE-2019-9636	当输入包括 Unicode 编码时，，，，，，软件无法准确处置惩罚。。	5.3	是	低
CVE-2021-33024	使用不清静的要领传输或存储身份验证凭证。。	3.7	是	高
CVE-2021-33022	敏感信息明文传输。。	7.5	是	低

影响规模

Vue PACS <= 12.2.xx

Vue MyVue <= 12.2.xx

Vue Speech <= 12.2.xx

Vue Motion <=12.2.1.5

0x02 处置惩罚建议

现在飞利浦已宣布误差修复妄想，，，，，，建议参考CISA或飞利浦官方获取详细信息：

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.usa.philips.com/healthcare/about/customer-support/product-security

缓解步伐

l 只管镌汰所有控制系统装备或系统在网络上袒露，，，，，，并确保它们不可从 Internet 会见。。

l 将控制系统网络和远程装备置于防火墙之后，，，，，，并将其与商业网络隔离。。

l 当需要远程会见时，，，，，，使用清静的要领，，，，，，如使用虚拟专用网络 (VPN)，，，，，，并确保 VPN更新到可用的最新版本。。

0x03 参考链接

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.philips.com/a-w/security/security-advisories.html#security_advisories

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33020

0x04 更新版本

版本	日期	修改内容
V1.0	2021-07-12	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于人生就是博

关注以下公众号，，，，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 人生就是博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】