Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Omisión de aviso de acciones inseguras en sistemas BD Kiestra y InoquIA de Becton, Dickinson and Company (BD)

Fecha de publicación: 23/05/2018

Importancia: Media

Recursos afectados:

Los siguientes sistemas utilizan aplicaciones afectadas por las vulnerabilidades:

  • BD Kiestra TLA
  • BD Kiestra WCA
  • Procesador de muestras BD InoqulA

Las aplicaciones afectadas por las vulnerabilidades son:

  • Database (DB) Manager, versión 3.0.1.0
  • ReadA Overview, versión 1.1.0.2 y anteriores
  • PerformA, versión 3.0.0.0 y anteriores

Descripción:

BD ha identificado dos vulnerabilides de no advertencia de acciones no seguras en sistemas que afectan a los sistemas BD Kiestra y InoquIA. Un potencial atacante podría hacer que se perdieran o borraran datos.

Solución:

BD tiene la intención de implementar las mitigaciones necesarias antes de julio de 2018. Esta mitigación incluirá la eliminación de la funcionalidad para activar las funciones SQL en DB Manager, PerformA y ReadA. Hasta que esto tenga lugar, BD recomienda los siguientes controles para reducir el riesgo asociado con estas vulnerabilidades:

  • DB Manager:
    • El personal de BD Kiestra Laboratory no debe utilizar las funciones SQL asociadas a la funcionalidad en los tres sistemas BD Kiestra: BD Kiestra TLA, BD Kiestra WCA y del procesador de muestras BD InoqulA . Se recomienda no reutilizar los programas actuales a través de la función exportar-importar, sino configurar un nuevo programa o usar las plantillas de programa predefinidas.
    • Asegurarse de que solo el personal autorizado y cualificado tenga derechos de control de acceso a todas las funciones en el DB Manager. Esto se puede configurar a través de la función 'Usuarios' en DB Manager.
  • ReadA Overview: se recomienda a los usuarios que configuren la función 'Users' para todos los usuarios en 'none' para acceder a ReadA Overview, si la aplicación no se usa o no se usa habitualmente. Esto se puede configurar a través de la función 'Users' en DB Manager. Si es necesario el uso de ReadA Overview, se recomienda a los usuarios que se aseguren de que solo el personal autorizado y cualificado tengan derechos de control de acceso a todas las funciones en ReadA Overview. Esto se puede configurar a través de la función 'Users' en DB Manager.
  • PerformA: se recomienda a los usuarios que garanticen el acceso a los servidores de BD Kiestra para su monitorización mientras se implementan las mejores prácticas de seguridad para evitar de manera efectiva el acceso no autorizado a los sistemas BD Kiestra.

Detalle:

Una vulnerabilidad en DB Manager y PerformA y en ReadA permitiría a un usuario autorizado con accesos elevados en el sistema BD Kiestra, usar comandos SQL que pueden resultan en una corrupción de datos. Se han reservado los identificadores CVE-2018-10593 y CVE-2018-10595 para estas vulnerabilidades.

Etiquetas: Vulnerabilidad