公開日:2016/09/08 最終更新日:2016/09/08

JVNVU#91018225
DEXIS Imaging Suite 10 に認証情報がハードコードされている問題

概要

DEXIS が提供する DEXIS Imaging Suite 10 は、歯科向けの X 線画像処理ソフトウェアです。DEXIS Imaging Suite 10 には複数の認証情報がハードコードされているため、管理者または root 権限で患者情報データベースにアクセスされる可能性があります。

影響を受けるシステム

  • DEXIS Imaging Suite 10
DEXIS Imaging Suite 10 以外のバージョンでも本脆弱性の影響を受ける可能性があります。

詳細情報

認証情報がハードコードされている問題 (CWE-798) - CVE-2016-6532
DEXIS Imaging Suite 10 にはデータベースの複数の認証情報がハードコードされているため、管理者または root 権限で患者情報データベースにアクセスされる可能性があります。

想定される影響

遠隔の攻撃者によって、管理者権限で当該製品の患者情報データベースにアクセスされる可能性があります。

対策方法

データベースの認証情報を更新する
開発者はデータベースの認証情報を変更するよう推奨しており、変更方法について次のように述べています。より詳しい情報は DEXIS Customer Support へお問い合わせください。

Changing the DEXIS database password

This procedure targets installations of DEXIS Imaging Suite (version 10). It will not work for older versions (9 and earlier) or DEXIS 11 and newer.
The DEXIS Imaging Suite database installation uses a well-known database instance name and password, allowing others to access your database, which contains sensitive patient information. Ideally, these should be changed to increase the security of your database.

During installation

During installation of the server, it is recommended that the instance name be changed from the default, “DEXIS_DATA”. Using the default name allows anyone to search for your database with a well-known name. Note that you cannot change the instance name once the database in installed.
You are unable to specify a different password during the installation process.

After installation

After DEXIS is installed, you can change your database password using the following procedure. Note that this procedure will work if you installed a new instance of the database using the supplied installation media.
On the installation media, browse to the following directory: “D:\Common\Software\ssmse2005\x86”, where D: is the drive letter on which the installation media is mounted.
Run SQLServer2005_SSMSEE.mis to install SQL Server Management Studio Express on your server. Use the default options in the installation dialogs.
Start the SQL Server Management Studio (Start → All Programs → Microsoft SQL Server 2005 → SQL Server Management Studio Express).
On the “Connect to Server” dialog, change the Authentication setting to “SQL Server Authentication”. The Login name is “sa”, and the password is in the user manual.
It is recommended that you do not use the default (well-known) password, and to use a strong password for your database. There are web-sites which will generate a strong password for you (such as: https://identitysafe.norton.com/password-generator) or will indicate how strong your password is (such as http://www.passwordmeter.com/).
On the left side panel, select “Security” → “Logins”. Double-click the “sa” user, and enter a new password on the General page. You will need to enter the same password twice to confirm.

Updating DEXIS to use the new password

Run DEXIS Imaging Suite (double-click the icon on the desktop). DEXIS will display an error (The following configuration errors were detected). Click “OK”. Click on the setting button ( ). Select the Data panel in preferences.
Check the “Edit Advanced settings” option. Click “OK” on the displayed warning dialog.
Enter your new password in the dialog. Press the “Verify” button to test the settings. When successful, select “OK” and restart DEXIS. You are now using the new password.
アップデートする
開発者によると、DEXIS Eleven ではハードコードされた認証情報は使用していないとのことです。開発者が提供する情報をもとに DEXIS Eleven へアップデートしてください。

ベンダ情報

ベンダ リンク
DEXIS DEXIS Digital Radiography & Dental Imaging

参考情報

  1. CERT/CC Vulnerability Note VU#282991
    DEXIS Imaging Suite 10 contains hard-coded credentials

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 9.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:C/I:C/A:C
基本値: 10.0
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-6532
JVN iPedia