美国CISA发布安全公告,指出飞利浦Vue医疗产品存在15个安全漏洞,涉及输入验证不当、内存错误、认证问题等,可能导致数据泄露、系统权限提升等风险。受影响产品包括VuePACS、MyVue、VueSpeech和VueMotion。部分漏洞已修复,其余将在2022年第一季度修复。建议用户采取缓解措施。
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
本周二,美国网络安全和基础设施安全局 (CISA) 发布安全公告称,飞利浦 Vue 医疗产品受15个漏洞影响。
CISA 指出,其中很多缺陷位于第三方组件中,影响多款飞利浦临床医学协作平台门户 (Vue PACS)产品,包括 MyVue、Vue Speech 和 Vue Motion 等。
这些漏洞和输入验证不当、内存漏洞、认证不当、资源初始化不安全/不当、使用过期密钥、使用弱加密算法、防护机制不当、数据完整性问题、跨站点脚本、凭据保护不当以及敏感数据明文传输有关。
CISA 在安全公告中指出,“成功利用这些漏洞可导致越权个体或流程监听、查看或修改数据,获取系统访问权限,执行代码,安装越权软件或影响系统数据完整性,对系统的机密性、完整性或可用性造成负面影响。”
这15个漏洞影响的产品是:
VUE Picture Archiving and Communication Systems (12.2.x.x 及之前版本)
Vue MyVue (12.2.x.x 及之前版本)
Vue Speech (12.2.x.x 及之前版本),以及
Vue Motion (12.2.1.5 及之前版本)
在这15个漏洞中,其中7个似乎和飞利浦产品有关,余下的影响第三方组件如 Redis、7-Zip、Oracle Database、jQuery、Python 和 Apache Tomcat。这些第三方组件缺陷在2012年至2020年间发现,而对飞利浦有影响的具体漏洞的 CVE 编号是在2021年分配的。其中四个是严重级别,四个是高危级别,其它是中低危级别。
CISA 指出,虽然其中某些漏洞已被修复,但其它漏洞在2022年第一季度才会被修复。同时,组织机构可执行缓解措施以减少利用风险。
虽然CISA确实引用了飞利浦发布的安全公告,但飞利浦公司并未发布公开的公告,“CISA 建议用户和管理员查看 ICS 医疗公告 ICSMA-21-187-01 飞利浦 Vue PACS 并应用必要的更新或缓解措施。”
推荐阅读
第三方依赖关系的风险:利用数十个易受攻击的 NuGet包瞄准 .NET 平台
Windows DWrite 组件 RCE 漏洞 (CVE-2021-24093) 分析
原文链接
https://www.securityweek.com/cisa-says-philips-vue-healthcare-products-affected-15-vulnerabilities
https://thehackernews.com/2021/07/critical-flaws-reported-in-philips-vue.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
