Múltiples vulnerabilidades en Vue PACS de Philips

Fecha de publicación: 07/07/2021

Importancia:
Crítica

Recursos afectados:

• Vue PACS, versión 12.2.x.x y anteriores;
• Vue MyVue, versión 12.2.x.x y anteriores;
• Vue Speech, versión 12.2.x.x y anteriores;
• Vue Motion, versión 12.2.1.5 y anteriores.

Descripción:

Philips ha reportado 16 vulnerabilidades, 5 de severidad crítica, 4 altas, 6 medias y 1 baja. La explotación exitosa de estas vulnerabilidades podría permitir que un atacante o proceso no autorizado espíe, vea o modifique datos, obtenga acceso al sistema, realice una ejecución de código, instale software no autorizado o afecte a la integridad de los datos del sistema, de tal manera que afecte negativamente a la confidencialidad, integridad o disponibilidad del mismo.

Solución:

Philips ha publicado las siguientes medidas para solucionar estas vulnerabilidades:

• configurar el entorno Vue PACS según D00076344 – Vue_PACS_12_Ports_Protocols_Services_Guide disponible en Incenter;
• actualizar MyVue a la versión 12.2.1.5 de junio de 2020 para solucionar CVE-2021-27497 y contactar con el soporte;
• actualizar Vue Motion a la versión 12.2.1.5 de junio de 2020 para solucionar CVE-2021-33020 y contactar con el soporte;
• actualizar Speech a la versión 12.2.8.0 de mayo de 2021 para solucionar CVE-2021-27497, CVE-2021-33022, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 y CVE-2012-1708, y contactar con el soporte;
• actualizar PACS a la versión 12.2.8.0 de mayo de 2021 para solucionar CVE-2020-1938, CVE-2018-12326, CVE-2018-11218 y CVE-2020-4670, y contactar con el soporte;
• actualizar Speech a la versión 15 del primer trimestre de 2022 para solucionar CVE-2018-10115, CVE-2021-33018 y CVE-2021-27501, y contactar con el soporte;
• actualizar MyVue a la versión 15 del primer trimestre de 2022 para solucionar CVE-2018-10115 y CVE-2021-27501, y contactar con el soporte;
• actualizar PACS a la versión 15 del primer trimestre de 2022 para solucionar CVE-2015-9251, CVE-2021-27497, CVE-2018-10115, CVE-2018-8014, CVE-2021-33018, CVE-2019-9636, CVE-2021-33024, CVE-2021-27501 y CVE-2021-27493, y contactar con el soporte.

Detalle:

• El producto recibe entradas o datos, pero no valida (o valida incorrectamente) que la entrada tenga las propiedades necesarias para procesar los datos de forma segura y correcta. Se ha asignado el identificador CVE-2020-1938 para esta vulnerabilidad crítica.
• El software realiza operaciones en un búfer de memoria, pero puede leer o escribir en una ubicación de memoria que está fuera de los límites previstos del búfer. Esta vulnerabilidad existe en un componente de software de terceros (Redis). Se han asignado los identificadores CVE-2018-12326 y CVE-2018-11218 para estas vulnerabilidades críticas.
• Cuando un actor afirma tener una identidad determinada, el software no demuestra (o demuestra insuficientemente) que la afirmación es correcta. Esta vulnerabilidad existe en un componente de software de terceros (Redis). Se ha asignado el identificador CVE-2020-4670 para esta vulnerabilidad crítica.
• El software inicia o establece un recurso con un valor predeterminado que se pretende cambiar por el administrador, pero el valor predeterminado no es seguro. Se ha asignado el identificador CVE-2018-8014 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33020, CVE-2018-10115, CVE-2021-27501, CVE-2021-33018, CVE-2021-27497, CVE-2012-1708, CVE-2015-9251, CVE-2021-27493, CVE-2019-9636, CVE-2021-33024 y CVE-2021-33022.

Etiquetas:
Actualización, Infraestructuras críticas, Sanidad, Vulnerabilidad