Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Divulgación de información en Vue RIS de Carestream

Fecha de publicación: 08/10/2018

Importancia: Baja

Recursos afectados:

  • RIS Client Builds versión 11.2 y anteriores funcionando en un sistema Windows 8.1 con IIS 7.5.

Descripción:

El investigador Dan Regalado de Zingbox ha reportado una vulnerabilidad de divulgación de información en el producto Vue RIS de Carestream. Un potencial atacante podría conseguir información filtrada y utilizarla para un posible ataque posterior.

Solución:

Carestream ha corregido esta vulnerabilidad en la versión actual del software y ha proporcionado las siguientes soluciones para antiguas versiones que se vean afectadas:

  • Para RIS 11.2, que se ejecuta con Windows 8.1 e IIS 7.2:
    • Deshabilitar ?Show debug messages?
    • Habilitar SSL para comunicaciones cliente/servidor

Detalle:

Al conectarse con un servidor de Carestream y el servicio Oracle TNS listener no se encuentre disponible, se dará lugar a un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado. Se ha asignado el identificador CVE-2018-17891.

Etiquetas: Vulnerabilidad