GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】飞利浦 Vue PACS 7月多个安全缝隙

颁布功夫 2021-07-13

0x00 缝隙概述

2021年7月6日，美国网络安全和基础设施安全局 (CISA) 颁布安全布告，披露了飞利浦 Vue 医疗产品中的15个安全缝隙。这些缝隙会影响多款飞利浦临床医学合作平台门户 (Vue PACS）产品，蕴含 MyVue、Vue Speech 和 Vue Motion 等。

飞利浦 Vue PACS属于公共医疗健全领域的基础设施。未经授权的攻击者可用利用这些缝隙执行肆意代码、更改系统的预期节造流程、接见敏感信息或导致系统崩溃。

0x01 缝隙详情

在本次披露的15个缝隙中，绝大部门都可被远程利用，并且攻击复杂度低。此表，有部门缝隙存在于第三方组件中，详情如下：

CVE ID	描述	CVSS评分	是否远程利用	攻击复杂度
CVE-2020-1938	不正确的输入验证。	9.8	是	低
CVE-2018-12326、CVE-2018-11218	内存缓冲区领域内的操作限度不当。此缝隙存在于第三方软件组件 (Redis) 中。	9.8	是	低
CVE-2020-4670	认证谬误。此缝隙存在于第三方软件组件 (Redis) 中。	9.8	是	低
CVE-2018-8014	资源的不安全默认初始化。	9.8	是	低
CVE-2021-33020	使用过期的密钥。	8.2	是	低
CVE-2018-10115	资源初始化不当。此缝隙存在于第三方软件组件 (7-Zip) 中。	7.8	否	低
CVE-2021-27501	不正确遵守编码尺度。	7.5	是	高
CVE-2021-33018	使用败坏的或有风险的密码算法，可能会导致敏感信息露出。	6.5	是	高
CVE-2021-27497	�；せ焓�。	6.5	是	高
CVE-2012-1708	数据齐全性问题。此缝隙存在于第三方软件组件（Oracle 数据库）中。	6.5	是	低
CVE-2015-9251	XSS	6.1	是	低
CVE-2021-27493	不能确保结构化新闻或数据体式正确并满足某些安全属性。	6.1	是	低
CVE-2019-9636	当输入蕴含 Unicode 编码时，软件无法正确处置。	5.3	是	低
CVE-2021-33024	使用不安全的步骤传输或存储身份验证凭证。	3.7	是	高
CVE-2021-33022	敏感信息明文传输。	7.5	是	低

影响领域

Vue PACS <= 12.2.xx

Vue MyVue <= 12.2.xx

Vue Speech <= 12.2.xx

Vue Motion <=12.2.1.5

0x02 措置建议

目前飞利浦已颁布缝隙建复打算，建议参考CISA或飞利浦官方获取具体信息：

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.usa.philips.com/healthcare/about/customer-support/product-security

缓解措施

l 尽量削减所有节造系统设备或系统在网络上露出，并确保它们不能从 Internet 接见。

l 将节造系统网络和远程设备置于防火墙之后，并将其与贸易网络隔离。

l 当必要远程接见时，使用安全的步骤，如使用虚构专用网络 (VPN)，并确保 VPN更新到可用的最新版本。

0x03 参考链接

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.philips.com/a-w/security/security-advisories.html#security_advisories

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33020

0x04 更新版本

版本	日期	批改内容
V1.0	2021-07-12	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于GA黄金甲

关注以下公家号，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】