JVNDB-2021-001726
|
Hillrom 製 Welch Allyn medical device management tools に複数の脆弱性
|
Hillrom が提供する Welch Allyn medical device management tools には、次の複数の脆弱性が存在します。
* 境界外書き込み (CWE-787) - CVE-2021-27410
* 境界外読み取り (CWE-125) - CVE-2021-27408
|
CVSS v3 による深刻度 基本値: 5.9 (警告) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): 高
- 可用性への影響(A): 低
※上記は、CVE-2021-27410の評価になります。
|
CVSS v3 による深刻度
基本値:
5.9 (警告) [IPA値]
-
攻撃元区分: 隣接
-
攻撃条件の複雑さ: 高
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): 高
-
可用性への影響(A): 低
※上記は、CVE-2021-27408の評価になります。
|
|
Hillrom
- Welch Allyn Connex Central Station (CS) v1.8.4 Service Pack 01 より前のバージョン
- Welch Allyn Connex Device Integration Suite - Network Connectivity Engine (NCE) v5.3 より前のバージョン
- Welch Allyn Connex Integrated Wall System (CIWS) v2.43.02 より前のバージョン
- Welch Allyn Connex Spot Monitor (CSM) v1.52 より前のバージョン
- Welch Allyn Connex Vital Signs Monitor (CVSM) v2.43.02 より前のバージョン
- Welch Allyn Service Monitor v1.7.0.0 より前のバージョン
- Welch Allyn Service Tool v1.10 より前のバージョン
- Welch Allyn Software Development Kit (SDK) v3.2 より前のバージョン
- Welch Allyn Spot Vital Signs 4400 Device (Spot 4400) / Welch Allyn Spot 4400 Vital Signs Extended Care Device v1.11.00 より前のバージョン
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 隣接するネットワーク上の第三者により、データを破損されたり、任意のコードを実行されたりする - CVE-2021-27410
* 隣接するネットワーク上の第三者により、情報漏えいされたり、CVE-2021-27410と組み合わせることで任意のコードを実行されたりする - CVE-2021-27408
|
[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
* Welch Allyn Service Tool v1.10
* Welch Allyn Software Development Kit (SDK) v3.2
* Welch Allyn Connex Central Station (CS) v1.8.4 Service Pack 01
* Welch Allyn Connex Device Integration Suite - Network Connectivity Engine (NCE) v5.3
* Welch Allyn Spot Vital Signs 4400 Device (Spot 4400) / Welch Allyn Spot 4400 Vital Signs Extended Care Device v1.11.00
* Welch Allyn Service Monitor v1.7.0.0
* Welch Allyn Connex Vital Signs Monitor (CVSM) v2.43.02
* Welch Allyn Connex Integrated Wall System (CIWS) v2.43.02
* Welch Allyn Connex Spot Monitor (CSM) v1.52
[ワークアラウンドを実施する]
開発者は次のワークアラウンドの適用を推奨しています。
* ネットワークおよび物理的なセキュリティを適切に管理する
* サーバーへのアクセスに認証を設定する
* シェルコードの実行を防止するために、必要に応じて DEP (Data Execution Prevention) および ASLR (Address Space Layout Randomization) を有効にする。
|
Hillrom
|
- 境界外読み取り(CWE-125) [IPA評価]
- 境界外書き込み(CWE-787) [IPA評価]
|
- CVE-2021-27410
- CVE-2021-27408
|
- JVN : JVNVU#94926489
- National Vulnerability Database (NVD) : CVE-2021-27410
- National Vulnerability Database (NVD) : CVE-2021-27408
- ICS-CERT ADVISORY : ICSMA-21-152-01
|
- [2021年06月04日]
掲載
- [2021年12月17日]
対策:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2021-27410) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2021-27408) を追加
- [2022年09月12日]
影響を受けるシステム:内容を更新
対策:内容を更新
- [2022年11月25日]
対策:内容を更新
|