如何报告(罗氏客户)
如果您是/代表罗氏的客户,请告知您的客户当地罗氏诊断分公司有关产品问题,包括任何潜在的网络安全漏洞,以确保根据您的服务合同妥善处理和处理投诉。
如何报告(安全研究人员和其他漏洞发现者)
如果您想报告罗氏诊断产品和/或服务的潜在网络安全漏洞,请通过以下方式与我们联系security@roche.com。
紧急/11 - VxWorks中的多个漏洞(2019年9月27日)
发布日期:2019-09-27
最后更新:2019-09-27
执行概要
罗氏公司意识到实时操作系统(RTOS)中存在一系列的安全漏洞,包括风河公司的VxWorks RTOSArmis。这些漏洞通常被称为URGENT/11,它们会影响多个RTOS的TCP/IP堆栈,并可能导致远程代码执行,从而允许攻击者在不与用户交互的情况下接管系统。
作为我们产品安全政策的一部分,Roche Diagnostics评估了这些漏洞对我们产品的潜在影响,并确定不需要对我们的产品采取任何措施。
作为一种通用的安全措施,Roche强烈建议通过适当的机制(包括Roche firewall)来彻底控制对设备的网络访问。我们强烈建议根据罗氏的安装指南来配置操作环境,并遵循产品手册中的建议。
受影响的产品
我们的审查确定了一套有限的罗氏诊断产品(IVD分析仪和系统)使用VxWorks操作系统。这分为两类:
这些产品都不会暴露漏洞或面临风险。
的潜在影响
我们目前对报告的漏洞的评估是罗氏诊断产品没有直接受到紧急/11漏洞集的影响。虽然有一些VxWorks的脆弱版本的使用,但这些产品运行在没有客户网络连接的隔离单元上,因此没有风险。罗氏诊断产品使用的防火墙不是基于VxWorks,因此本身不容易受到紧急/11漏洞的影响。
如需进一步信息或关注,请与您的罗氏当地诊断办事处。
缓解措施/解决方法
这些漏洞不需要缓解或解决方案。
联系信息
罗氏公司的客户
请联系你的罗氏当地诊断办事处
安全研究人员
有关诊断产品相关的安全主题,请联系dia.pcert@roche.com
有关一般罗氏相关安全议题,请联络security@roche.com