VU#536588:Orthanc DICOM 服务器中存在多个堆缓冲区溢出漏洞
Orthanc DICOM 服务器 1.12.10 及更早版本存在多个漏洞,影响图像解码和 HTTP 请求处理。这些缺陷包括堆缓冲区溢出、越界读取以及内存耗尽问题,可通过精心构造的输入加以利用。攻击者可借助这些漏洞导致服务器崩溃、泄露敏感数据,甚至可能实现远程代码执行。这些漏洞源于不安全的算术运算、关键边界检查缺失以及对元数据的验证不足。问题存在于 DICOM 文件和 HTTP 请求的处理过程中。已识别的漏洞涉及元头解析、gzip 压缩处理以及 ZIP 归档处理,可能导致资源耗尽。越界读取问题出现在用于专有 Philips 压缩格式和调色板颜色图像的图像解码函数中。堆缓冲区溢出则发生在图像解码器以及 PAM 图像解析逻辑中。Orthanc 已发布 1.12.11 版本以修复上述漏洞。用户应立即升级,并限制上传/处理功能的暴露范围。这些漏洞由 Machine Spirits UG 的 Simon Weber 博士和 Volker Schönefeld 发现。