Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Informazioa zabaltzea Carestream etxearen Vue RIS produktuan

Argitaratze-data: 2018/10/08

Garrantzia: Txikia

Kaltetutako baliabideak:

  • RIS Client Builds, 11.2 bertsioa eta aurrekoak, IIS 7.5 daukan Windows 8.1 sistema batean funtzionatzen.

Azalpena:

Zingbox-eko Dan Regalado ikertzaileak informazio zabalkunde motako ahultasun bat antzeman du Carestream-en Vue RIS produktuan. Erasotzaile batek informazio filtratua lortu dezake eta gerora eraso bat egiteko erabili.

Konponbidea:

Carestream-ek ahultasun hori konpondu du softwarearen egungo bertsioan eta honako konponbideak eman ditu kaltetuta egon daitezkeen bertsio zaharretarako:

  • RIS 11.2 bertsiorako, Windows 8.1 eta IIS 7.2-ekin exekutatzen dena:
    • ?Show debug messages? Desgaitzea.
    • Bezero/zerbitzari komunikazioetarako SSL gaitzea.

Xehetasuna:

Carestream zerbitzari batekin konektatu eta Oracle TNS listener zerbitzua eskuragarri ez egotekotan, HTTP 500 errore bat emango da eta informazio teknikoa filtratuko da. Erasotzaile batek informazio tekniko hori erabil lezake eraso landuago bat egiteko. CVE-2018-17891 identifikatzailea esleitu zaio.

Etiketak: Ahultasuna