Divulgación de información en Vue RIS de Carestream

Fecha de publicación:

08/10/2018

Importancia:

2 - Baja

Recursos afectados:

RIS Client Builds versión 11.2 y anteriores funcionando en un sistema Windows 8.1 con IIS 7.5.

Descripción:

El investigador Dan Regalado de Zingbox ha reportado una vulnerabilidad de divulgación de información en el producto Vue RIS de Carestream. Un potencial atacante podría conseguir información filtrada y utilizarla para un posible ataque posterior.

Solución:

Carestream ha corregido esta vulnerabilidad en la versión actual del software y ha proporcionado las siguientes soluciones para antiguas versiones que se vean afectadas:

Para RIS 11.2, que se ejecuta con Windows 8.1 e IIS 7.2:
- Deshabilitar “Show debug messages”
- Habilitar SSL para comunicaciones cliente/servidor

Detalle:

Al conectarse con un servidor de Carestream y el servicio Oracle TNS listener no se encuentre disponible, se dará lugar a un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado. Se ha asignado el identificador CVE-2018-17891.

Referencias:

Advisory (ICSMA-18-277-01) Carestream Vue RIS

Etiquetas:

Vulnerabilidad

Accesos corporativos

Divulgación de información en Vue RIS de Carestream

Múltiples vulnerabilidades en Philips Clinical Collaboration Platform

Múltiples vulnerabilidades en CodeMeter de Wibu Systems

Vulnerabilidad en WebAccess Node de Advantech

Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon

Vulnerabilidad en FATEK Automation PLC WinProladder