Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Divulgación de información en Vue RIS de Carestream

Fecha de publicación 08/10/2018
Importancia
2 - Baja
Recursos Afectados
  • RIS Client Builds versión 11.2 y anteriores funcionando en un sistema Windows 8.1 con IIS 7.5.
Descripción

El investigador Dan Regalado de Zingbox ha reportado una vulnerabilidad de divulgación de información en el producto Vue RIS de Carestream. Un potencial atacante podría conseguir información filtrada y utilizarla para un posible ataque posterior.

Solución

Carestream ha corregido esta vulnerabilidad en la versión actual del software y ha proporcionado las siguientes soluciones para antiguas versiones que se vean afectadas:

  • Para RIS 11.2, que se ejecuta con Windows 8.1 e IIS 7.2:
    • Deshabilitar “Show debug messages”
    • Habilitar SSL para comunicaciones cliente/servidor
Detalle

Al conectarse con un servidor de Carestream y el servicio Oracle TNS listener no se encuentre disponible, se dará lugar a un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado. Se ha asignado el identificador CVE-2018-17891.

Encuesta valoración

Listado de referencias
Advisory (ICSMA-18-277-01) Carestream Vue RIS
Etiquetas