Software kwetsberens fûn yn Philips cardiovascular imaging apparaat

Neffens it rapport fan befeiligingsburo cve-2018-14787 is it in probleem foar privileezjebehear.Yn Philips's intellispace cardiovascular (iscv) produkten (iscv ferzje 2. X of earder en Xcelera ferzje 4.1 of earder), "oanfallers mei upgrade rjochten (ynklusyf autentike brûkers) kinne tagong krije ta de map fan útfierbere triemmen mei skriuwrjochten, en dan útfiere willekeurige koade mei lokale bestjoerlike rjochten," sei de oankundiging, "Suksesfolle eksploitaasje fan dizze kwetsberens kin oanfallers mei lokale tagongsrjochten en brûkers fan iscv / Xcelera-tsjinner de tagongsrjochten op 'e server opwurdearje en willekeurige koade útfiere."

De oankundiging sei dat de twadde swakke oankundige yn cve-2018-14789 is iscv ferzje 3.1 of earder en Xcelera ferzje 4.1 of earder, en wiisde op dat "in net oanhelle sykpaad of elemint kwetsberens is identifisearre, wêrtroch oanfallers willekeurich kinne útfiere koade en ferbetterje har privileezjenivo"

Yn reaksje op in feiligens oankundiging, Philips sei dat "it resultaat fan befêstiging fan de klacht yntsjinne troch klanten" is oer 20 finsters tsjinsten op iscv ferzje 2. X en earder en Xcelera 3x - 4. X servers, wêrfan de útfierbere triem bestiet yn in map dy't skriuwtastimming krige hat oan in autentike brûker“ Dizze tsjinsten rinne as lokale behearderakkounts of lokale systeemakkounts, en as in brûker ien fan 'e útfierbere bestannen ferfangt mei in oar programma, sil it programma ek lokale behearder as lokale systeemrjochten brûke , "Philips suggerearret.It advisearret ek dat "yn iscv ferzje 3. X en earder en Xcelera 3. X - 4. X, d'r binne 16 finsterstsjinsten sûnder oanhalingstekens yn har paadnammen" Dizze tsjinsten rinne mei lokale beheardersrjochten en kinne wurde begon mei registerkaaien, dy't in oanfaller in manier kinne leverje om útfierbere bestannen te pleatsen dy't lokale beheardersrjochten jouwe."


Post tiid: Dec-10-2021