Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Debilidad del código en Capsule Datacaptor Terminal Server de Qualcomm Life

Fecha de publicación: 29/08/2018

Importancia: Crítica

Recursos afectados:

Las siguientes versiones de Capsule Datacaptor Terminal Server (DTS), que forman parte de un sistema de información de un dispositivo médico, se encuentran afectadas:

  • Todas las versiones de Capsule DTS incluidas en el servidor web embebido Allegro RomPager desde la 4.01 a la 4.34.

Descripción:

Elad Luz de CyberMDX ha reportado esta vulnerabilidad de tipo debilidad del código. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto le ejecución de código sin autorización para obtener privilegios de administrador en el dispositivo.

Solución:

Capsule Technologies ha lanzado una actualización de firmware que soluciona esta vulnerabilidad en la versión Single Board del DTS, lanzado originalmente en 2009. Capsule Technologies insta encarecidamente a todos los usuarios con una versión Single Board del DTS a descargar el firmware desde el portal de cliente de Capsule y aplicarlo a los dispositivos afectados siguiendo el procedimiento de parcheo. El acceso al portal del cliente se puede encontrar en la siguiente ubicación:
https://customers.capsuletech.com/

Debido a limitaciones técnicas, la actualización de firmware solo soluciona la vulnerabilidad en las versiones Single Board y no la soluciona en estas otras versiones:

  • Dual Board
  • Capsule Digi Connect ES converted to DTS
  • Capsule Digi Connect

Capsule recomienda a los usuarios con cualquiera de estas tres versiones de DTS, deshabilitar el servidor web embebido para mitigar esta vulnerabilidad. El servidor web solo se utiliza para la configuración durante la implantación inicial y no es necesario para el soporte remoto continuo del dispositivo.

Detalle:

Esta vulnerabilidad permitiría a un atacante enviar una cookie HTTP al portal de administración web para escribir datos arbitrarios en la memoria del dispositivo, lo que podría habilitar la ejecución de código remoto. Se ha asignado el identificador CVE-2014-9222 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad