CVE-2025-14607: OFFIS DCMTK中的内存损坏

严重性：中 类型：漏洞

描述

在OFFIS DCMTK 3.6.9及之前版本中发现一个漏洞。此问题影响组件dcmdata中文件dcmdata/libsrc/dcbytstr.cc的函数DcmByteString::makeDicomByteString。不当操作会导致内存损坏。攻击可以远程发起。升级到版本3.7.0可以解决此问题。补丁标识为4c0e5c10079392c594d6a7abd95dd78ac0aa556a。您应该升级受影响的组件。

技术分析

CVE-2025-14607是OFFIS DCMTK库中发现的一个内存损坏漏洞，该库是一个广泛用于处理DICOM（医学数字成像和通信）文件的开源工具包。该缺陷存在于dcmdata组件（文件dcmdata/libsrc/dcbytstr.cc）内的函数DcmByteString::makeDicomByteString中。该函数对某些输入数据处理不当，在处理精心构造的DICOM字节字符串时会导致内存损坏。该漏洞无需身份验证或用户交互即可被远程利用，使其成为一个可网络利用的缺陷。

CVSS 4.0基础评分为5.3，反映了中等严重性，考虑到攻击向量是基于网络的，攻击复杂度低且无需权限，但对机密性、完整性和可用性的影响有限。该漏洞无需用户交互，影响从3.6.0到3.6.9的所有DCMTK版本。该问题已在版本3.7.0中修复，修复由提交4c0e5c10079392c594d6a7abd95dd78ac0aa556a标识。虽然目前尚未发现已知的野外利用，但如果被利用，存在导致拒绝服务或有限代码执行的可能性。鉴于DCMTK在医学成像工作流程中的作用，成功利用可能会扰乱医疗操作或损害患者数据的完整性。

潜在影响

对于欧洲的组织，特别是医疗保健领域的组织，此漏洞对医学成像数据的机密性、完整性和可用性构成风险。利用该漏洞可能导致拒绝服务，中断诊断工作流程，并可能延迟关键的患者护理。尽管对机密性和完整性的影响评级较低，但医学成像系统的任何中断都可能产生严重的操作后果。该漏洞无需身份验证即可远程利用的特性，增加了来自外部威胁行为者攻击的风险。在PACS（图像归档和通信系统）或其他医学成像软件中使用DCMTK的医疗保健提供商尤其容易受到攻击。

此外，欧洲的GDPR和医疗器械法规等合规性框架强调保护患者数据和系统可用性，使得及时修复对于避免法律和声誉影响至关重要。

缓解建议

欧洲的医疗保健组织应优先将所有DCMTK实例升级到3.7.0或更高版本，以应用官方补丁。应采用网络分段，将医学成像系统与不受信任的网络隔离，减少暴露于远程攻击的风险。实施严格的访问控制，并监控针对DICOM服务的异常活动的网络流量。采用应用层防火墙或支持DICOM的安全网关来过滤和验证传入的DICOM数据流。定期审计和更新所有医学成像软件依赖项，以确保漏洞得到及时解决。

此外，应纳入针对医学成像基础设施的漏洞扫描和渗透测试，以检测潜在的利用企图。制定针对医疗设备和成像系统受损的特定事件响应计划，以最小化操作影响。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、瑞典、比利时、瑞士、挪威