Inicio / Alerta Temprana / Avisos Sci / Divulgación de información en Vue RIS de Carestream

Divulgación de información en Vue RIS de Carestream

Fecha de publicación: 
08/10/2018
Importancia: 
2 - Baja
Recursos afectados: 
  • RIS Client Builds versión 11.2 y anteriores funcionando en un sistema Windows 8.1 con IIS 7.5.
Descripción: 

El investigador Dan Regalado de Zingbox ha reportado una vulnerabilidad de divulgación de información en el producto Vue RIS de Carestream. Un potencial atacante podría conseguir información filtrada y utilizarla para un posible ataque posterior.

Solución: 

Carestream ha corregido esta vulnerabilidad en la versión actual del software y ha proporcionado las siguientes soluciones para antiguas versiones que se vean afectadas:

  • Para RIS 11.2, que se ejecuta con Windows 8.1 e IIS 7.2:
    • Deshabilitar “Show debug messages”
    • Habilitar SSL para comunicaciones cliente/servidor
Detalle: 

Al conectarse con un servidor de Carestream y el servicio Oracle TNS listener no se encuentre disponible, se dará lugar a un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado. Se ha asignado el identificador CVE-2018-17891.

Encuesta valoración

Etiquetas: