Fecha de publicaciĂłn: 07/07/2021
Importancia:
CrĂtica
Recursos afectados:
- Vue PACS, versiĂłn 12.2.x.x y anteriores;
- Vue MyVue, versiĂłn 12.2.x.x y anteriores;
- Vue Speech, versiĂłn 12.2.x.x y anteriores;
- Vue Motion, versiĂłn 12.2.1.5 y anteriores.
DescripciĂłn:
Philips ha reportado 16 vulnerabilidades, 5 de severidad crĂtica, 4 altas, 6 medias y 1 baja. La explotaciĂłn exitosa de estas vulnerabilidades podrĂa permitir que un atacante o proceso no autorizado espĂe, vea o modifique datos, obtenga acceso al sistema, realice una ejecuciĂłn de cĂłdigo, instale software no autorizado o afecte a la integridad de los datos del sistema, de tal manera que afecte negativamente a la confidencialidad, integridad o disponibilidad del mismo.
SoluciĂłn:
Philips ha publicado las siguientes medidas para solucionar estas vulnerabilidades:
- configurar el entorno Vue PACS segĂșn D00076344 – Vue_PACS_12_Ports_Protocols_Services_Guide disponible en Incenter;
- actualizar MyVue a la versiĂłn 12.2.1.5 de junio de 2020 para solucionar CVE-2021-27497 y contactar con el soporte;
- actualizar Vue Motion a la versiĂłn 12.2.1.5 de junio de 2020 para solucionar CVE-2021-33020 y contactar con el soporte;
- actualizar Speech a la versiĂłn 12.2.8.0 de mayo de 2021 para solucionar CVE-2021-27497, CVE-2021-33022, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 y CVE-2012-1708, y contactar con el soporte;
- actualizar PACS a la versiĂłn 12.2.8.0 de mayo de 2021 para solucionar CVE-2020-1938, CVE-2018-12326, CVE-2018-11218 y CVE-2020-4670, y contactar con el soporte;
- actualizar Speech a la versiĂłn 15 del primer trimestre de 2022 para solucionar CVE-2018-10115, CVE-2021-33018 y CVE-2021-27501, y contactar con el soporte;
- actualizar MyVue a la versiĂłn 15 del primer trimestre de 2022 para solucionar CVE-2018-10115 y CVE-2021-27501, y contactar con el soporte;
- actualizar PACS a la versiĂłn 15 del primer trimestre de 2022 para solucionar CVE-2015-9251, CVE-2021-27497, CVE-2018-10115, CVE-2018-8014, CVE-2021-33018, CVE-2019-9636, CVE-2021-33024, CVE-2021-27501 y CVE-2021-27493, y contactar con el soporte.
Detalle:
- El producto recibe entradas o datos, pero no valida (o valida incorrectamente) que la entrada tenga las propiedades necesarias para procesar los datos de forma segura y correcta. Se ha asignado el identificador CVE-2020-1938 para esta vulnerabilidad crĂtica.
- El software realiza operaciones en un bĂșfer de memoria, pero puede leer o escribir en una ubicaciĂłn de memoria que estĂĄ fuera de los lĂmites previstos del bĂșfer. Esta vulnerabilidad existe en un componente de software de terceros (Redis). Se han asignado los identificadores CVE-2018-12326 y CVE-2018-11218 para estas vulnerabilidades crĂticas.
- Cuando un actor afirma tener una identidad determinada, el software no demuestra (o demuestra insuficientemente) que la afirmaciĂłn es correcta. Esta vulnerabilidad existe en un componente de software de terceros (Redis). Se ha asignado el identificador CVE-2020-4670 para esta vulnerabilidad crĂtica.
- El software inicia o establece un recurso con un valor predeterminado que se pretende cambiar por el administrador, pero el valor predeterminado no es seguro. Se ha asignado el identificador CVE-2018-8014 para esta vulnerabilidad crĂtica.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33020, CVE-2018-10115, CVE-2021-27501, CVE-2021-33018, CVE-2021-27497, CVE-2012-1708, CVE-2015-9251, CVE-2021-27493, CVE-2019-9636, CVE-2021-33024 y CVE-2021-33022.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Sanidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.