富士胶片全球X射线设备多个漏洞安全通告
发布时间 2019-04-26漏洞编号和级别
CVE编号:CVE-2019-10950,危险级别:严重,CVSS分值:9.8
影响版本及产品
CR-IR 357 FCR XC-2
CR-IR 357 FCR Capsula X
漏洞概述
Fujifilm CR-IR 357 FCR Carbon X等都是日本富士胶片(Fujifilm)公司的放射性医疗影像读取设备。受影响设备用于全球医疗行业。研究人员发现了如下漏洞:
该漏洞为资源管理错误漏洞,源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。可导致受影响的磁带阅读器单元出现拒绝服务。
该漏洞为输入验证错误漏洞,源于网络系统或产品未对输入的数据进行正确的验证。可被用于访问底层操作系统并允许任意代码执行。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商暂未发布修复措施解决此安全问题,而是建议用户启用设备上的 Secure Host (“安全主机”)功能。该功能拦截除富士胶卷图像采集控制台关联的IP地址的流量以外的所有网络流量。另外,该公司建议用户通过分段和确保只有授权设备和用户可访问设备的方法确保网络安全。
参考链接
京公网安备11010802024551号