公開日:2021/03/26 最終更新日:2021/03/26
JVNVU#96079237
Philips 製 Gemini PET/CT Family に機密データへのアクセス制限不備の脆弱性
Philips 社が提供する Gemini PET/CT Family には、アクセス制限がないリムーバブルメディアに機微な情報が保存される脆弱性が存在します。
- 882300 Gemini 16 Slice
- 882160 Gemini Dual
- 882400 Gemini GXL 10 Slice
- 882390 Gemini GXL 6 Slice
- 882410 Gemini GXL 16 Slice
- 882412 GEMINI LXL
- 882473 Gemini TF Ready
- 882470 Gemini TF 16 w/ TOF Performance
- 882471 Gemini TF 64 w/ TOF Performance
- 882476 Gemini TF Big Bore
- 882438 TruFlight Select PET/CT
Philips 社が提供する Gemini PET/CT Family は PET/CT 検査に使用される機材の製品群です。当該製品には、アクセス制限がないリムーバブルメディアに患者情報などの機微な情報が保存される脆弱性 (CWE-921) が存在します。
当該製品への物理的なアクセスが可能な第三者によって、機微な情報を窃取される可能性があります。
ワークアラウンドを実施する
2021年3月26日現在、本脆弱性に対するアップデートは提供されていません。
Philips 社は本脆弱性に対して、次のワークアラウンドを公開しています。
- ソフトウェア、ソフトウェア構成、システムサービス、セキュリティ構成など、Philips 社が承認した仕様の範囲内で、当該製品を利用する
- スキャナーとリムーバブルメディアへの物理的なアクセスを許可された担当者のみに制限する
| ベンダ | リンク |
| Philips | Security Advisories |
| Customer Service Solutions |
CVSS v3
CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
基本値:
2.4
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
