OFFIS DCMTK Eszközkészlet
Megosztás
Összefoglalót olvas. A teljes tartalom itt érhető el: cisa.gov.
Nézd meg a CSAF összefoglalót. Ezen sebezhetőségek sikeres kihasználása lehetővé teheti a támadó számára, hogy fájlokat írjon, jogosulatlan információkhoz férjen hozzá, kimerítse a memóriát, vagy összeomlassa az érintett DCMTK kliens vagy szerver folyamatokat. Az OFFIS DCMTK Toolkit következő verziói érintettek: DCMTK <=3.7.0 (CVE-2026-50003, CVE-2026-50254, CVE-2026-35505, CVE-2026-52868, CVE-2026-44628) CVSS Szállító Eszköz Kockázatok v3 9.8 OFFIS OFFIS DCMTK Toolkit Helytelen Útvonal Korlátozása a Korlátozott Könyvtárhoz ('Útvonal Traversálás'), Memória Hiányzó Felszabadítása a Hatékony Élettartam Után, Erőforrás Hozzáférés Inkompatibilis Típussal ('Típus Zavar') Háttér Kritikus Infrastruktúra Szektorok: Egészségügy és Közegészségügy Országok/Területek: Világszerte Cég Székhelye: Németország Sebezhetőségek Bővítése Mind + CVE-2026-50003 Egy rosszindulatú vagy kompromittált szerver lehetővé teheti egy DCMTK kliens számára, hogy bitmegőrző C-GET tárolási módban fájlokat írjon a választott kimeneti könyvtáron kívül, mind relatív (../) mint abszolút útvonalakat használva. Nézd meg a CVE részleteit Érintett termékek OFFIS DCMTK Toolkit Szállító: OFFIS Termékváltozat: OFFIS DCMTK: <=3.7.0 Termékállapot: ismert_érintett Helyreállítások Mitigáció A karbantartó értesítve lett ezen sebezhetőségekről és megoldást biztosított. A javítás a legfrissebb elköteleződések között szerepel és az alábbi pillanatfelvétel keretében érhető el: Szállítói javítás https://github.com/DCMTK/dcmtk/releases/tag/latest. Mitigáció A felhasználóknak javasolt letölteni a legfrissebb GitHub kiadást, amint elérhetővé válik. Kapcsolódó CWE: CWE-22 Helytelen Útvonal Korlátozása a Korlátozott Könyvtárhoz ('Útvonal Traversálás') Mutatók CVSS Verzió Alap Pontszám Alap Súlyosság Vektor Karakterlánc 3.1 9.8 KRITIKUS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 4.0 9.3 KRITIKUS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVE-2026-50254 Egy hitelesítetlen távoli támadó többször is egyetlen ügyesen megalkotott kapcsolatkérést küldhet a memória szivárgásának érdekében. A storescp esetében az alapértelmezett egylépéses üzemmódban a memória gyorsan nő, és a szolgáltatás végül leáll, azt követően pedig nem fogad el új kapcsolódásokat, amíg egy operátor újra nem indítja. Nézd meg a CVE részleteit Érintett termékek OFFIS DCMTK Toolkit Szállító: OFFIS Termékváltozat: OFFIS DCMTK: <=3.7.0 Termékállapot: ismert_érintett Helyreállítások Mitigáció A karbantartó értesítve lett ezen sebezhetőségekről és megoldást biztosított. A javítás a legfrissebb elköteleződések között szerepel és az alábbi pillanatfelvétel keretében érhető el: Szállítói javítás https://github.com/DCMTK/dcmtk/releases/tag/latest. Mitigáció A felhasználóknak javasolt letölteni a legfrissebb GitHub kiadást, amint elérhetővé válik. Kapcsolódó CWE: CWE-401 Hiányzó Felszabadítása a Memória a Hatékony Élettartam Után Mutatók CVSS Verzió Alap Pontszám Alap Súlyosság Vektor Karakterlánc 3.1 7.5 MAGAS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 4.0 8.7 MAGAS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CVE-2026-35505 Egy hitelesítetlen távoli támadó többször is ügyesen megalkotott kapcsolatkéréseket küldhet a memória szivárgásának érdekében. Az egylépéses telepítések esetében a memória nő, amíg a szolgáltatás le nem áll, és a port nem reagál a restartig. Nézd meg a CVE részleteit Érintett termékek OFFIS DCMTK Toolkit Szállító: OFFIS Termékváltozat: OFFIS DCMTK: <=3.7.0 Termékállapot: ismert_érintett Helyreállítások Mitigáció A karbantartó értesítve lett ezen sebezhetőségekről és megoldást biztosított. A javítás a legfrissebb elköteleződések között szerepel és az alábbi pillanatfelvétel keretében érhető el: Szállítói javítás https://github.com/DCMTK/dcmtk/releases/tag/latest. Mitigáció A felhasználóknak javasolt letölteni a legfrissebb GitHub kiadást, amint elérhetővé válik. Kapcsolódó CWE: CWE-401 Hiányzó Felszabadítása a Memória a Hatékony Élettartam Után Mutatók CVSS Verzió Alap Pontszám Alap Súlyosság Vektor Karakterlánc 3.1 7.5 MAGAS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 4.0 8.7 MAGAS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CVE-2026-52868 Egy hitelesítetlen támadó képes lehet munkalisták rekordjait olvasni egy könyvtárból, amely kívül esik a tervezett per-AE munkalista tároló területen. Egy több területből álló telepítés esetén ez megsértheti a részlegek vagy klinikák adatainak elválasztását. Nézd meg a CVE részleteit Érintett termékek OFFIS DCMTK Toolkit Szállító: OFFIS Termékváltozat: OFFIS DCMTK: <=3.7.0 Termékállapot: ismert_érintett Helyreállítások Mitigáció A karbantartó értesítve lett ezen sebezhetőségekről és megoldást biztosított. A javítás a legfrissebb elköteleződések között szerepel és az alábbi pillanatfelvétel keretében érhető el: Szállítói javítás https://github.com/DCMTK/dcmtk/releases/tag/latest. Mitigáció A felhasználóknak javasolt letölteni a legfrissebb GitHub kiadást, amint elérhetővé válik. Kapcsolódó CWE: CWE-22 Helytelen Útvonal Korlátozása a Korlátozott Könyvtárhoz ('Útvonal Traversálás') Mutatók CVSS Verzió Alap Pontszám Alap Súlyosság Vektor Karakterlánc 3.1 8.2 MAGAS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N 4.0 8.8 MAGAS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N CVE-2026-44628 Egy hitelesítetlen támadó képes lehet a munkalista szerver összeomlasztására egyetlen ügyesen megalkotott lekérdezéssel, amikor a szerver rendelkezik egy érvényes Called AE címkészlettel / tárolókönyvtárral, a várt zároló fájllal, és legalább egy illeszkedő munkalista rekorddal. Nézd meg a CVE részleteit Érintett termékek OFFIS DCMTK Toolkit Szállító: OFFIS Termékváltozat: OFFIS DCMTK: <=3.7.0 Termékállapot: ismert_érintett Helyreállítások Mitigáció A karbantartó értesítve lett ezen sebezhetőségekről és megoldást biztosított. A javítás a legfrissebb elköteleződések között szerepel és az alábbi pillanatfelvétel keretében érhető el: Szállítói javítás https://github.com/DCMTK/dcmtk/releases/tag/latest. Mitigáció A felhasználóknak javasolt letölteni a legfrissebb GitHub kiadást, amint elérhetővé válik. Kapcsolódó CWE: CWE-843 Erőforrás Hozzáférés Inkompatibilis Típussal ('Típus Zavar') Mutatók CVSS Verzió Alap Pontszám Alap Súlyosság Vektor Karakterlánc 3.1 7.5 MAGAS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 4.0 8.7 MAGAS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N Köszönet Abhinav Agarwal jelentette ezeket a sebezhetőségeket a CISA-nak. Jogi Értesítés és Használati Feltételek Ez a termék a következő Értesítés (https://www.cisa.gov/notification) és ez a Magánélet és Használati politika (https://www.cisa.gov/privacy-policy) szerint érhető el. Ajánlott Gyakorlatok A CISA javasolja, hogy a felhasználók defensív intézkedéseket tegyenek a sebezhetőségek kihasználásának kockázatának minimalizálása érdekében. Minimalizálja a hálózati kitettséget minden vezérlőrendszer eszköze és/vagy rendszer számára, biztosítva, hogy azokat ne lehessen elérni az internetről. Helyezze a vezérlőrendszer hálózatait és távoli eszközeit tűzfalak mögé, elszigetelve azokat az üzleti hálózatoktól. Ha távoli hozzáférés szükséges, használjon biztonságosabb módszereket, például virtuális magánhálózatokat (VPN-eket), figyelembe véve, hogy a VPN-ek rendelkezhetnek sebezhetőségekkel, és a legújabb elérhető verzióra kell őket frissíteni. Ezenkívül vegye figyelembe, hogy a VPN csak annyira biztonságos, amennyire a csatlakoztatott eszközök. A CISA emlékezteti a szervezeteket, hogy végezzenek megfelelő hatáselemzést és kockázatértékelést a védelmi intézkedések alkalmazása előtt. A CISA közzétesz egy részt a vezérlőrendszerek biztonságának ajánlott gyakorlatairól a cisa.gov/ics ICS oldalon. Számos CISA-termék, amelyek a kibertámadások elleni védekezést célozzák, elérhetők olvasásra és letöltésre, beleértve az Ipari Vezérlőrendszerek Kibervédelmét a Mélységi Védekezési Stratégiákkal. A CISA ösztönzi a szervezeteket, hogy valósítsanak meg ajánlott kiberbiztonsági stratégiákat az ICS eszközök proaktív védelme érdekében. További mitigaációs útmutatások és ajánlott gyakorlatok nyilvánosan elérhetők az ICS oldalon a cisa.gov/ics technikai információs dokumentumban, ICS-TIP-12-146-01B--Célzott Kibertámadás Észlelési és Mitigációs Stratégiák. A szervezeteknek, amelyek gyanús rosszindulatú tevékenységet észlelnek, követniük kell a megszokott belső eljárásokat, és be kell jelenteniük megállapításaikat a CISA-nak, hogy nyomon követhessék és korrelálhassák más eseményekkel. A CISA emellett javasolja a felhasználóknak, hogy tegyenek meg a következő intézkedéseket, hogy megvédjék magukat a szociális mérnökségi támadásoktól: Ne kattintson webes hivatkozásokra, és ne nyisson meg csatolmányokat kéretlen e-mailekben. Hivatkozzon a Kéretlen E-mailek Azonosítása és Kikerülése című anyagra, hogy többet tudjon meg az e-mail csalások elkerüléséről. Hivatkozzon a Szociális Mérnökség és Adathalász Támadások Elkerülése című anyagra, hogy többet tudjon meg a szociális mérnökségi támadásokról. Jelenleg nincs tudomásunk olyan nyilvános kihasználásról, amely kifejezetten ezeket a sebezhetőségeket célozza. Változtatások Története Kezdeti Kiadás Dátuma: 2026-06-30 Dátum Változás Összegzés 2026-06-30 1 Kezdeti Közlés Jogi Értesítés és Használati Feltételek
Külső link: cisa.gov
Kapcsolódó cikkek
cybersecurity
A JadePuffer zsarolóvírus mesterséges intelligencia ügynököt használt az egész támadás automatizálására.
cybersecurity
Az Egyesült Államok kormánya 1 millió dollárt fizetett a Kairosnak adatlopási zsarolási ügyben.
cybersecurity
