JVNDB-2021-001726

JVNDB-2021-001726
Hillrom 製 Welch Allyn medical device management tools に複数の脆弱性
概要
Hillrom が提供する Welch Allyn medical device management tools には、次の複数の脆弱性が存在します。　* 境界外書き込み (CWE-787) - CVE-2021-27410 　* 境界外読み取り (CWE-125) - CVE-2021-27408
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.9 (警告) [IPA値] 攻撃元区分: 隣接攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): 高可用性への影響(A): 低 ※上記は、CVE-2021-27410の評価になります。
CVSS v3 による深刻度基本値: 5.9 (警告) [IPA値] 攻撃元区分: 隣接攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): 高可用性への影響(A): 低 ※上記は、CVE-2021-27408の評価になります。
影響を受けるシステム

Hillrom Welch Allyn Connex Central Station (CS) v1.8.4 Service Pack 01 より前のバージョン Welch Allyn Connex Device Integration Suite - Network Connectivity Engine (NCE) v5.3 より前のバージョン Welch Allyn Connex Integrated Wall System (CIWS) v2.43.02 より前のバージョン Welch Allyn Connex Spot Monitor (CSM) v1.52 より前のバージョン Welch Allyn Connex Vital Signs Monitor (CVSM) v2.43.02 より前のバージョン Welch Allyn Service Monitor v1.7.0.0 より前のバージョン Welch Allyn Service Tool v1.10 より前のバージョン Welch Allyn Software Development Kit (SDK) v3.2 より前のバージョン Welch Allyn Spot Vital Signs 4400 Device (Spot 4400) / Welch Allyn Spot 4400 Vital Signs Extended Care Device v1.11.00 より前のバージョン

想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。　* 隣接するネットワーク上の第三者により、データを破損されたり、任意のコードを実行されたりする - CVE-2021-27410 　* 隣接するネットワーク上の第三者により、情報漏えいされたり、CVE-2021-27410と組み合わせることで任意のコードを実行されたりする - CVE-2021-27408
対策
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。　* Welch Allyn Service Tool v1.10 　* Welch Allyn Software Development Kit (SDK) v3.2 　* Welch Allyn Connex Central Station (CS) v1.8.4 Service Pack 01 　* Welch Allyn Connex Device Integration Suite - Network Connectivity Engine (NCE) v5.3 　* Welch Allyn Spot Vital Signs 4400 Device (Spot 4400) / Welch Allyn Spot 4400 Vital Signs Extended Care Device v1.11.00 　* Welch Allyn Service Monitor v1.7.0.0 　* Welch Allyn Connex Vital Signs Monitor (CVSM) v2.43.02 　* Welch Allyn Connex Integrated Wall System (CIWS) v2.43.02 　* Welch Allyn Connex Spot Monitor (CSM) v1.52 [ワークアラウンドを実施する] 開発者は次のワークアラウンドの適用を推奨しています。　* ネットワークおよび物理的なセキュリティを適切に管理する　* サーバーへのアクセスに認証を設定する　* シェルコードの実行を防止するために、必要に応じて DEP (Data Execution Prevention) および ASLR (Address Space Layout Randomization) を有効にする。
ベンダ情報
Hillrom Hillrom : Customer Service Bulletin: CSB-Welch Allyn Product Security Vulnerability: 80027509
CWEによる脆弱性タイプ一覧 CWEとは?
境界外読み取り(CWE-125) [IPA評価] 境界外書き込み(CWE-787) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2021-27410 CVE-2021-27408
参考情報
JVN : JVNVU#94926489 National Vulnerability Database (NVD) : CVE-2021-27410 National Vulnerability Database (NVD) : CVE-2021-27408 ICS-CERT ADVISORY : ICSMA-21-152-01
更新履歴
[2021年06月04日] 掲載 [2021年12月17日] 対策：内容を更新参考情報：National Vulnerability Database (NVD) (CVE-2021-27410) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-27408) を追加 [2022年09月12日] 影響を受けるシステム：内容を更新対策：内容を更新 [2022年11月25日] 対策：内容を更新


公表日	2021/06/02
登録日	2021/06/04
最終更新日	2022/11/25

Hillrom 製 Welch Allyn medical device management tools に複数の脆弱性