Divulgación de información en Vue RIS de Carestream

Fecha de publicación:

08/10/2018

Importancia:

2 - Baja

Recursos afectados:

RIS Client Builds versión 11.2 y anteriores funcionando en un sistema Windows 8.1 con IIS 7.5.

Descripción:

El investigador Dan Regalado de Zingbox ha reportado una vulnerabilidad de divulgación de información en el producto Vue RIS de Carestream. Un potencial atacante podría conseguir información filtrada y utilizarla para un posible ataque posterior.

Solución:

Carestream ha corregido esta vulnerabilidad en la versión actual del software y ha proporcionado las siguientes soluciones para antiguas versiones que se vean afectadas:

Para RIS 11.2, que se ejecuta con Windows 8.1 e IIS 7.2:
- Deshabilitar “Show debug messages”
- Habilitar SSL para comunicaciones cliente/servidor

Detalle:

Al conectarse con un servidor de Carestream y el servicio Oracle TNS listener no se encuentre disponible, se dará lugar a un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado. Se ha asignado el identificador CVE-2018-17891.

Referencias:

Advisory (ICSMA-18-277-01) Carestream Vue RIS

Etiquetas:

Vulnerabilidad

Accesos corporativos

Divulgación de información en Vue RIS de Carestream

Consumo de recursos descontrolado en Touch Panel de las series BTP

Vulnerabilidad en Fuji Electric V-Server Lite

Múltiples vulnerabilidades en FactoryTalk Linx de Rockwell Automation

Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series

Múliples vulnerabilidades en varios productos de Endress+Hauser