Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun OpenClinic GA sisteman

Argitalpen data: 2020/07/03

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • OpenClinic GA, 5.09.02 bertsioa;
  • OpenClinic GA, 5.89.05b bertsioa;

Azalpena:

Brian D. Hysell ikertzaileak 12 ahultasunen berri eman zion CISA erakundeari. OpenClinic GA ospitale-informazioaren kudeaketa sistemari eragiten diote. 3 larritasun kritikokoak dira, 6 handikoak, eta 3 tartekoak.

Konponbidea:

OpenClinic GA erakundea ahultasun horien jakitun da, baina ez du konfirmaziorik eman. OpenClinic GA azken bertsiora eguneratzea gomendatu da, egungo zuzenketa guztiak bermatzeko.

Xehetasuna:

Larritasun kritikoko 3 ahultasunak ondoren deskribatu dira:

  • Erasotzaile batek bezeroaren sarbide-kontrolak bertan behera utz litzake, edo saio bat funtzionaltasun mugatuz hasteko bereziki diseinatutako eskaera bat erabili. Horren ondorioz, administrari funtzioak exekutatu litezke, hala nola SQL kontsultak. Ahultasun horretarako, CVE-2020-14485 identifikatzailea erreserbatu da.
  • Sistemak hirugarrenen software bertsioak ditu barne. Beren bizitza-zikloaren amaieran daude eta kodearen urrutiko exekuzioa baimendu lezaketen ahultasun ezagunak dituzte. Ahultasun horretarako, CVE-2020-14495 identifikatzailea erreserbatu da.
  • Sistemak aurrez zehaztutako erabiltzaile-kontu bat dauka. Administrariren batek kontu hori desaktibatu ez badu soilik sar daiteke; horrela, erasotzaile batek saioa hasi eta komando arbitrarioak exekuta litzake (ez dio 5.89.05b bertsioari eragiten). Ahultasun horretarako, CVE-2020-14487 identifikatzailea erreserbatu da.

Gainerako ahultasunak erasotzaile batek baliatu litzake, honako ekintzaren bat burutzeko:

  • Indarrezko erasoak, egiaztatze-saiakera gehiegiren aurrean mugatze desegokia izanagatik;
  • Sisteman sartzea, egiaztatze-prozesu desegokiaren ondorioz;
  • Informazio pribilegiatua lortzea, baimen faltagatik;
  • Pribilegio handiegiekin komandoak exekutatzea;
  • Kaltegarriak izan daitezkeen artxibo arbitrarioak kargatu eta exekutatzea, mugarik gabe;
  • Artxibo konfidentzialak zabaldu edo kargatutako artxibo maltzurrak exekutatzea, kontrolatu gabeko ibilbide-sarbide baten ondorioz (path traversal);
  • Baimendu gabeko komandoak exekutatzea;
  • Nabigatzailean kode maltzurra exekutatzea, XSS baten bidez;
  • Kredentzialak berreskuratzea, babes desegoki baten ondorioz.

Larritasun handi eta ertaineko ahultasunetarako, honako identifikatzaileak erreserbatu dira: CVE-2020-14484, CVE-2020-14494, CVE-2020-14491, CVE-2020-14493, CVE-2020-14488, CVE-2020-14490, CVE-2020-14486, CVE-2020-14492 eta CVE-2020-14489.

Etiketak: Eguneratzea, Azpiegitura kritikoak, Osasuna, Ahultasuna.