Divulgación de información en Vue RIS de Carestream
Fecha de publicación 08/10/2018
Importancia
2 - Baja
Recursos Afectados
- RIS Client Builds versión 11.2 y anteriores funcionando en un sistema Windows 8.1 con IIS 7.5.
Descripción
El investigador Dan Regalado de Zingbox ha reportado una vulnerabilidad de divulgación de información en el producto Vue RIS de Carestream. Un potencial atacante podría conseguir información filtrada y utilizarla para un posible ataque posterior.
Solución
Carestream ha corregido esta vulnerabilidad en la versión actual del software y ha proporcionado las siguientes soluciones para antiguas versiones que se vean afectadas:
- Para RIS 11.2, que se ejecuta con Windows 8.1 e IIS 7.2:
- Deshabilitar “Show debug messages”
- Habilitar SSL para comunicaciones cliente/servidor
Detalle
Al conectarse con un servidor de Carestream y el servicio Oracle TNS listener no se encuentre disponible, se dará lugar a un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado. Se ha asignado el identificador CVE-2018-17891.
Listado de referencias
Etiquetas