公開日:2024/07/19 最終更新日:2024/11/27

JVNVU#95897514
Philips製Vue PACSにおける複数の脆弱性

概要

Philipsが提供するVue PACSには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-28165

  • Vue PACS 12.2.8.410より前のバージョン
CVE-2023-40704
  • Vue PACS すべてのバージョン

詳細情報

Philipsが提供するVue PACSには、次の複数の脆弱性が存在します。

  • 制限または調整なしのリソースの割り当て(CWE-770)-CVE-2021-28165
  • 認証情報を初期設定のまま使用(CWE-1392)-CVE-2023-40704

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • サービス運用妨害(DoS)状態とされる(CVE-2021-28165)
  • データベースにアクセスされる(CVE-2023-40704)

対策方法

アップデートする
CVE-2021-28165
開発者は、2023年10月にリリース済みのVue PACS バージョン 12.2.8.410へのアップデートを推奨しています。

ワークアラウンドを実施する
CVE-2021-28165
 開発者は、アップデートが適用できない場合、InCenterで提供されている「D000763414 - Vue_PACS_12_Ports_Protocols_Services_Guide」に従って、Vue PACS環境を構成することを推奨しています。
CVE-2023-40704
開発者は、悪用される危険性が低いため対策は不要としていますが、ユーザーは、開発者に対しデータベースパスワードの更新を要求することができます。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Philips Security Advisories | Philips VuePACS (2024-July-18)
InCenter(要ログイン)

参考情報

  1. ICS Medical Advisory | ICSMA-24-200-01
    Philips Vue PACS

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/11/27
[影響を受けるシステム]、[詳細情報]、[想定される影響]、[対策方法]を更新しました