Programara vundebleco trovita en Philips kardiovaskula bildiga aparato

Laŭ la sekureca agenteja raporto cve-2018-14787, ĝi estas problemo pri privilegia administrado.En la intellispacaj kardiovaskulaj (iscv) produktoj de Philips (iscv versio 2. X aŭ pli frue kaj Xcelera versio 4.1 aŭ pli frue), "atakantoj kun ĝisdatigaj rajtoj (inkluzive aŭtentikigitaj uzantoj) povas aliri la dosierujon de ruleblaj dosieroj kun skribrajtoj, kaj tiam ekzekuti arbitran kodon. kun lokaj administraj rajtoj," la anonco diris, "Sukcesa ekspluatado de ĉi tiuj vundeblecoj povas permesi al atakantoj kun lokaj alirrajtoj kaj uzantoj de iscv / Xcelera-servilo ĝisdatigi la permesojn sur la servilo kaj efektivigi arbitran kodon"

La anonco diris, ke la dua malforto anoncita en cve-2018-14789 estas iscv-versio 3.1 aŭ pli frue kaj Xcelera versio 4.1 aŭ pli frue, kaj atentigis, ke "necitita serĉvojo aŭ elemento vundebleco estis identigita, kio povas permesi al atakantoj ekzekuti arbitran. kodi kaj plibonigi ilian privilegian nivelon"

Responde al sekureca anonco, Philips diris, ke "la rezulto de la konfirmado de la plendo prezentita de klientoj" estas ĉirkaŭ 20 vindozaj servoj sur iscv versio 2. X kaj pli frue kaj Xcelera 3x - 4. X-serviloj, el kiuj la rulebla dosiero ekzistas en. dosierujo al kiu ricevis skribi permeson al aŭtentikigita uzanto“ Ĉi tiuj servoj funkcias kiel loka administranto-kontoj aŭ lokaj sistemaj kontoj, kaj se uzanto anstataŭigas unu el la ruleblaj dosieroj per alia programo, la programo ankaŭ uzos lokan administranton aŭ lokan sisteman privilegiojn. , “Philips sugestas.Ĝi ankaŭ rekomendas, ke "en iscv-versio 3. X kaj pli frue kaj Xcelera 3. X - 4. X, ekzistas 16 vindozaj servoj sen citiloj en siaj padnomoj" Ĉi tiuj servoj funkcias kun loka administranto-privilegioj kaj povas esti komencitaj per registraj ŝlosiloj, kiu povas provizi atakanton per maniero meti ruleblajn dosierojn kiuj donas lokajn administrantajn privilegiojn.“


Afiŝtempo: Dec-10-2021