Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Hospira MedNet

Múltiples vulnerabilidades en Hospira MedNet

Fecha de publicación: 
01/04/2015
Importancia: 
5 - Crítica
Recursos afectados: 

MedNet software version 5.8 y anteriores.

Descripción: 

Un investigador independiente ha identificado varias vulnerabilidades en el software MedNet de la compañía Hospira, tres de ellas explotables remotamente.

Solución: 

Hospira ha publicado la versión 6.1 de MedNet que corrige las vulnerabilidades referidas a claves y contraseñas incluidas en su código.

Para la vulnerabilidad relacionada con JBoss Enterprise Hospira ha publicado para sus clientes varios artículos con recomendaciones para las versiones MedNet 5.5 y MedNet 5.8.

Los clientes de Hospira también pueden contactar con el soporte técnico para obtener nuevas recomendaciones.

Detalle: 

Las vulnerabilidades detectadas pueden permitir a un atacante comprometer remotamente servidores MedNet, así como realizar modificaciones no autorizadas a las librerías y configuraciones del sistema.

Dos de estos fallos detectados hacen referencia a la inclusión en el código y en ficheros de configuración del servidor de contraseñas de usuario en texto plano así como las claves de cifrado utilizadas.

El software MedNet también utiliza una versión de la plataforma de aplicaciones JBoss Enterprise que permitiría a un usuario no autenticado ejecutar código arbitrario en el servidor