【活用ガイド】

JVNDB-2016-004540

Dentsply Sirona CDR DICOM に認証情報がハードコードされている問題

概要

Dentsply Sirona (旧名 Shick Technologies) が提供する CDR DICOM は、歯科記録の管理ソフトウェアです。CDR DICOM には複数の認証情報がハードコードされているため、管理者または root 権限でアクセスされる可能性があります。

認証情報がハードコードされている問題 (CWE-798) - CVE-2016-6530
CDR DICOM 5 およびそれ以前には、データベースの複数の認証情報がハードコードされているため、管理者または root 権限でアクセスされる可能性があります。

CWE-798: Use of Hard-coded Credentials
http://cwe.mitre.org/data/definitions/798.html
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


Sirona
  • CDR DICOM

想定される影響

遠隔の攻撃者によって、管理者権限で当該製品のデータベースにアクセスされる可能性があります。
対策

[認証情報を更新する]
開発者は、この問題による影響を軽減するためにデータベースの認証情報を更新したいユーザに向けて次の通り述べています。詳細は、開発者にご確認ください。

  CDR Dicom uses default passwords to optimize its installation and to expedite the setup and configuration of the software. A potential risk exists where unauthorized individuals with knowledge of the default passwords, and internal access to CDR's SQL database, could retrieve the patient information stored by CDR exams.
  (CDR DICOM は、セットアップおよび設定にかかる時間を短縮し、最適化するためにデフォルトのパスワードを使用しています。CDR DICOM のデフォルトパスワードを知っており SQL データベースに内部アクセス可能な攻撃者によって、CDR DICOM に保存された患者情報を取得される潜在的なリスクが存在します。)

  Mitigation of this issue can be achieved in several ways. Ensuring network access to patient information is protected from improper use is one approach. Another would be to replace the default passwords with user-selected ones. This can be accomplished during a custom installation of SQL Server or by modifying the default credentials after installation.
  (この問題の影響を軽減するにはいくつかの方法があります。不正に使用されないよう患者情報へのアクセスを制限するのがひとつの方法です。もうひとつは、デフォルトのパスワードをユーザの指定するものに置き換える方法です。SQL サーバのカスタムインストール時、またはインストール後に認証情報を変更することが可能です。)

  Additional Information about the default passwords used by CDR, the options for mitigation, and general recommendation on keeping patient data safe, can be found on the company website at the following link: https://www.schickbysirona.com/items.php?itemid=19189
  (CDR DICOM のデフォルトパスワードや緩和策、患者情報の安全な保持に関する一般的な推奨事項については、https://www.schickbysirona.com/items.php?itemid=19189 に掲載しています。)
ベンダ情報

Sirona
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-6530
参考情報

  1. JVN : JVNVU#94423160
  2. National Vulnerability Database (NVD) : CVE-2016-6530
  3. US-CERT Vulnerability Note : VU#548399
更新履歴

  • [2016年09月08日]
      掲載
    [2016年09月12日]
      ベンダ情報:Sirona (CDR Dicom Security Issue) を追加
      対策:内容を更新
    [2016年11月10日]
      参考情報:National Vulnerability Database (NVD) (CVE-2016-6530) を追加

公表日2016/09/06
登録日2016/09/08
最終更新日2016/11/10