Divulgación de información en Vue RIS de Carestream

Fecha de publicación

08/10/2018

Importancia

2 - Baja

Recursos Afectados

RIS Client Builds versión 11.2 y anteriores funcionando en un sistema Windows 8.1 con IIS 7.5.

Descripción

El investigador Dan Regalado de Zingbox ha reportado una vulnerabilidad de divulgación de información en el producto Vue RIS de Carestream. Un potencial atacante podría conseguir información filtrada y utilizarla para un posible ataque posterior.

Solución

Carestream ha corregido esta vulnerabilidad en la versión actual del software y ha proporcionado las siguientes soluciones para antiguas versiones que se vean afectadas:

Para RIS 11.2, que se ejecuta con Windows 8.1 e IIS 7.2:
- Deshabilitar “Show debug messages”
- Habilitar SSL para comunicaciones cliente/servidor

Detalle

Al conectarse con un servidor de Carestream y el servicio Oracle TNS listener no se encuentre disponible, se dará lugar a un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado. Se ha asignado el identificador CVE-2018-17891.

Listado de referencias

Advisory (ICSMA-18-277-01) Carestream Vue RIS

Etiquetas

Vulnerabilidad