Deux vulnérabilités découvertes dans les stations de travail Alaris Gateway

Risques

• Exécution de code arbitraire
• Exécution de code arbitraire à distance
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
• Atteinte à la disponibilité des données

Criticité

• Score CVSS : 10 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

• Aucun code d'exploitation n'a été diffusé au jour de cette publication.

Composants & versions vulnérables

• CVE-2019-10959
  • Les versions 1.3 Build 10, 1.3 MR Build 11, 2 Build 15, 3.0 Build 14 et 3.1 Build 13 de Alaris Gateway Workstation
  • Les produits  suivants dans leur version 2.3.6 ou antérieures :
    • AlarisTM GS ;
    • AlarisTM GH ;
    • AlarisTM CC ;
    • AlarisTM TIVA.
• CVE-2019-10962
  • AGW Web Browser User Interface: 0.13, 1.3 Build 10, 1.3 MR Build 11,1.5 et 1.6

CVE

• CVE-2019-10959
  CVE-2019-10962

Mise en place de correctif de sécurité

• BD évalue actuellement d'autres efforts d'assainissement, y compris la suppression du protocole Server Message Block (SMB). De plus amples détails seront fournis dans les 60 jours suivant cette mise à jour originale.
• CVE-2019-10962 Les clients doivent utiliser la dernière version du firmware 1.3.2 ou 1.6.1.

Solution de contournement

• CVE-2019-10959
  • Bloquer le protocole SMB