公開日:2021/07/07 最終更新日:2023/02/22

JVNVU#96012689
Philips製Vue PACS製品における複数の脆弱性

概要

Philips社が提供するVue PACS製品には、複数の脆弱性が存在します。

影響を受けるシステム

Philips社によると、以下のVue PACS製品が影響を受けるとのことです。

  • Vue PACS:Versions 12.2.x.x およびそれ以前
  • Vue MyVue:Versions 12.2.x.x およびそれ以前
  • Vue Speech:Versions 12.2.x.x およびそれ以前
  • Vue Motion:Versions 12.2.1.5 およびそれ以前

詳細情報

Philips社が提供するVue PACS製品には、次の複数の脆弱性が存在します。

  • 不適切な入力確認 (CWE-20) - CVE-2020-1938
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • メモリバッファの境界における不適切な操作制限 (CWE-119) - CVE-2018-12326、CVE-2018-11218
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 不適切な認証 (CWE-287) - CVE-2020-4670
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • リソースの安全ではないデフォルト値への初期化 (CWE-1188) - CVE-2018-8014
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 有効期限を過ぎた鍵の使用 (CWE-324) - CVE-2021-33020
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N 基本値: 8.2
  • 不適切な初期化 (CWE-665) - CVE-2018-10115
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 不適切なコーディング基準の遵守 (CWE-710) - CVE-2021-27501
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.5
  • 不完全、または危険な暗号アルゴリズムの使用 (CWE-327) - CVE-2021-33018
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N 基本値: 6.5
  • 保護メカニズムの不具合 (CWE-693) - CVE-2021-27497
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N 基本値: 6.5
  • データ整合性の問題 (CWE-1214) - CVE-2012-1708
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 6.5
  • クロスサイトスクリプティング (CWE-79) - CVE-2015-9251
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値: 6.1
  • メッセージまたはデータ構造の不適切な強制 (CWE-707) - CVE-2021-27493
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値: 6.1
  • Unicode符号化の不適切な処理 (CWE-176) - CVE-2019-9636
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3
  • 認証情報の不十分な保護 (CWE-522) - CVE-2021-33024
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 3.7
  • 重要な情報の平文での送信 (CWE-319) - CVE-2021-33022
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 相対パストラバーサル (CWE-23) - CVE-2021-39369
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N 基本値: 2.7

想定される影響

想定される影響は各脆弱性により異なりますが、第三者または不正なプロセスによって次のような影響を受ける可能性があります。詳細についてはPhilips社が提供する情報を参照してください。

  • データの傍受、表示または変更
  • システムへのアクセス
  • コード実行
  • 不正なソフトウェアのインストール
  • システムの機密性、整合性または可用性に悪影響を与えるようなデータの整合性への影響

対策方法

アップデートする
Philips社が提供する情報をもとに、最新版にアップデートしてください。Philips社では現時点で次のような対応を示しています。

  • Incenterで入手できるD00076344 – Vue_PACS_12_Ports_Protocols_Services_Guideによって、Vue PACS環境の設定を推奨
  • 2020年6月にCWE-693を修正するMyVue Version 12.2.1.5をリリース
  • 2020年6月にCWE-324を修正するMotion Version 12.2.1.5をリリース
  • 2021年5月にCWE-693、CWE-319、CWE-119、CWE-287およびCWE-1214を修正するSpeech Version 12.2.8.0をリリース
  • 2021年5月にCWE-20、CWE-119およびCWE-287を修正するPACS Version 12.2.8.0をリリース
  • 2021年11月にCWE-665およびCWE-327を修正するSpeechのセキュリティ修正をリリース
  • 2021年12月にCWE-23を修正するVuePAC (WFM)、Vue Motion (Enterprise Viewer)、Vue ExplorerおよびWeb System Configurationのversion 12.2.1.6をリリース
  • 2022年第1四半期にCWE-665およびCWE-710を修正するMyVue Version 12.2.8.100をリリース
  • 2022年第1四半期にCWE-79、CWE-693、CWE-665、CWE-1188、CWE-327、CWE-176、CWE-522、CWE-710およびCWE-707を修正するPACS Version 12.2.8.100をリリース
  • 2023年第3四半期にCWE-522を修正するPACSの修正をリリース予定
詳細は、Philips eService(要ログイン)へお問い合わせください。

ベンダ情報

ベンダ リンク
Philips Product Security | Philips
Philips eService(要ログイン)

参考情報

  1. ICS Medical Advisory (ICSMA-21-187-01)
    Philips Vue PACS

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/01/21
[詳細情報]および[対策方法]に、CVE-2021-39369に関する情報を追加しました。
2022/04/06
[対策方法]を更新しました。
2023/02/22
[対策方法]を更新しました。