发布日期：2019-06-12
更新日期：2019-06-18

受影响系统：

BD Alaris GS 2.3.6
BD Alaris GS 2.0
BD Alaris GS 1.9.4
BD Alaris GS 1.5.10
BD Alaris GH 2.3.6
BD Alaris GH 2.0
BD Alaris GH 1.9.4
BD Alaris GH 1.5.10
BD Alaris CC 2.3.6
BD Alaris CC 2.0
BD Alaris CC 1.9.4
BD Alaris CC 1.5.10
BD Alaris TIVA 2.3.6
BD Alaris TIVA 2.0
BD Alaris TIVA 1.9.4
BD Alaris TIVA 1.5.10
BD Alaris Gateway Workstation 1.1.6
BD Alaris Gateway Workstation 1.1.5
BD Alaris Gateway Workstation 1.1.3 MR Build 11
BD Alaris Gateway Workstation 1.1.3 Build 10
BD Alaris Gateway Workstation 1.0.13

不受影响系统：

BD Alaris Gateway Workstation 1.6.1
BD Alaris Gateway Workstation 1.3.2

描述：

---

BUGTRAQ  ID: 108763
CVE(CAN) ID: CVE-2019-10962

BD Alaris网关工作站是美国碧迪医疗（BD）公司的产品，是一套智能输液系统。

BD Alaris Gateway版本，1.0.13,1.1.3 Build 10,1.1.3 MR Build 11,1.1.5和1.1.6，Alaris Gateway Workstation上的Web浏览器用户界面不会阻止攻击者了解Alaris Gateway Workstation终端的IP地址，用于访问设备的状态和配置信息。

攻击者可以利用此问题绕过安全限制并执行未经授权的操作; 这可能有助于发动进一步的攻击。

<*来源：CyberMDX的Elad Luz
  
  链接：*>

建议：

---

厂商补丁：

BD
--
BD已经为此发布了一个安全公告（CVE-2019-10962）以及相应补丁:
CVE-2019-10962：Alaris&#8482; Gateway Workstation Web Browser User Interface Lack of Authentication
链接：

补丁下载：

浏览次数：1473
严重程度：0（网友投票）