Rubrika: Bezpečnost

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2025-66168
• Název závislosti: activemq-client
• Ovlivněná verze závislosti: <=6.1.8
• Skóre závažnosti: NIST 8.8 High, CNA 5.4 Medium

Dotčené verze DPGW

• 1.13.13-REL – 1.13.16-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá ActiveMQ jako zprostředkovatele zpráv pro topic a fronty.

Analýza
Activemq-client sám o sobě není zranitelný, zranitelnost spočívá ve zprostředkovateli. Ve všech našich nasazeních je zprostředkovatel přístupný pouze z localhostu, proto je oblast možného útoku velmi omezená.

Stav
Ovlivněno

Skóre závažnosti v kontextu DPGW: 6.1 Medium CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:H/SI:H/SA:L/MAV:L/MPR:H

Dopad na DPGW

Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: neočekávané chování zprostředkovatele zpráv, které by mohlo vést k nedostupnosti našeho produktu.

Náprava a zmírnění dopadů

Plánovaná oprava
Naplánovali jsme vydání verze 1.13.17-REL, která by měla tento problém vyřešit. Vydání je plánováno na polovinu března 2026.

Akce uživatele
Uživatelé mohou tuto zranitelnost zmírnit tím, že zkontrolují, zda není broker přístupný z jiných zařízení než z lokálního hostitele.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2025-53644
• Název závislosti: dcm4che-imageio-opencv
• Ovlivněná verze závislosti: <=5.34.2
• Skóre závažnosti: 6.6 Střední

Dotčené verze DPGW

• 1.13.13-REL – 1.13.14-REL
• <=1.12.37-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá dcm4che-imageio-opencv speciálně pro překódování DICOM obrazů do komprimovaných formátů, jako jsou JPEG2000, JPEG-LS atd.

Analýza
dcm4che-imageio-opencv není přímo zranitelný, zranitelnost je přenosná, protože závisí na knihovně OpenCV. Útočníci mohou tuto zranitelnost zneužít pouze v případě, že mohou uložit škodlivý obrázek DICOM do spuštěného systému PACS a pokud je DicomImageReader.properties nastaven tak, aby k dekódování souborů JPEG používal OpenCV.

Stav
Ovlivněno

Dopad na DPGW

Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: dočasné přerušení služby pro uživatele, protože by mohlo dojít k selhání aplikace.

Náprava a zmírnění dopadů

Oprava
Aktualizace DPGW na:
1.13.15-REL (vydáno 23. 2. 2026) nebo novější
1.12.38-REL (vydáno 23. 2. 2026) nebo novější

Akce uživatele
Uživatelé mohou tuto zranitelnost zmírnit překonfigurováním souboru conf/DicomImageReader.properties tak, aby zakázali používání OpenCV a místo toho používali ImageIO.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2026-1225
• Název závislosti: logback-core
• Ovlivněná verze závislosti: <=1.5.24
• Skóre závažnosti: 1,8 Nízká

Dotčené verze DPGW

• 1.13.13-REL – 1.13.14-REL
• <=1.12.37-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá logback konkrétně pro zápis, rotaci a správu logovacích souborů.

Analýza
Soubor logback.xml v naší implementaci je přístupný pouze systémovým administrátorům, kteří mají plný přístup k systému.
Nepodporujeme přístup k souboru logback.xml žádným jiným způsobem. Oprávnění k souboru logback.xml jsou nastavena na 644.

Stav
Není ovlivněno

Náprava a zmírnění dopadů

Plánovaná oprava
Aktualizace této závislosti je plánována ve verzích 1.13.15-REL a 1.12.38-REL.

Akce uživatele
V tuto chvíli není ze strany uživatelů vyžadována žádná akce.

https://thehackernews.com/2026/02/new-chrome-zero-day-cve-2026-2441-under.html

Společnost Google v pátek vydala bezpečnostní aktualizace pro svůj prohlížeč Chrome, které mají řešit bezpečnostní chybu, o které tvrdí, že byla zneužita.
Zranitelnost s vysokou závažností, evidovaná jako CVE-2026-2441 (skóre CVSS: 8,8), byla popsána jako chyba typu „použij po uvolnění“ v CSS. Bezpečnostní výzkumnice Shaheen Fazim byla připsána objevení a nahlášení nedostatku 11. února 2026.
„Použití slova „free“ v CSS v prohlížeči Google Chrome před verzí 145.0.7632.75 umožňovalo vzdálenému útočníkovi spustit libovolný kód uvnitř sandboxu prostřednictvím vytvořené HTML stránky,“ uvádí se v popisu chyby v Národní databázi zranitelností (NVD) NIST.
Google nezveřejnil žádné podrobnosti o tom, jak je tato zranitelnost zneužívána, kým nebo kdo mohl být cílem útoku, ale uznal, že „zranitelnost CVE-2026-2441 existuje“.
Pro optimální ochranu se uživatelům doporučuje aktualizovat prohlížeč Chrome na verzi 145.0.7632.75/76 pro Windows a Apple macOS a 144.0.7559.75 pro Linux. Chcete-li se ujistit, že jsou nainstalovány nejnovější aktualizace, mohou uživatelé přejít do sekce Více > Nápověda > O prohlížeči Google Chrome a vybrat možnost Restartovat.

Dne 10. prosince vydal Národní úřad pro kybernetickou a informační bezpečnost upozornění na kritickou zranitelnost CVE-2021-44228 označovanou také jako Log4Shell. Ještě tentýž den začal náš tým vývojářů zranitelnost analyzovat.

Výsledkem analýzy je, že systém DPGW netrpí zranitelností Log4Shell.

DPGW využívá jako logovací backend Logback a SLF4J. Samotný Log4j není systémem DPGW ani žádnou jeho závislostí využíván (pro knihovny, které log4j využívají je použit log4j-over-slf4j, který zranitelnost neobsahuje).

Na bezpečnost systému dbáme následovně:

• pravidelně sledujeme nové zranitelnosti všech knihoven a závislostí, které náš systém využívá na CVE listu
• sledujeme doporučení Národního úřadu pro kybernetickou a informační bezpečnost
• provádíme analýzu rizik s ohledem na OWASP Top Ten
• proti našemu systému jsou pravidelně prováděny penetrační testy společností Crashtest security