Inicio / Content / Boletín de INCIBE-CERT del 01-04-2020

Boletín de INCIBE-CERT del 01-04-2020

Omisión de restricción de acceso remoto en productos HPE

Fecha de publicación: 
01/04/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • HPE MSA 1040 SAN Storage GL225P001 y anteriores,
  • HPE MSA 2040 SAN Storage GL225P001 y anteriores,
  • HPE MSA 2042 SAN Storage GL225P001 y anteriores,
  • HPE MSA 1050 SAN Storage VE270R001-01 y anteriores,
  • HPE MSA 2050 SAN Storage VL270R001-01 y anteriores,
  • HPE MSA 2052 SAN Storage VL270R001-01 y anteriores.
Descripción: 

HPE ha publicado varias vulnerabilidades de omisión de restricción de acceso remoto en los productos afectados.

Solución: 
  • HPE MSA 1040, versión del firmware GL225P002-02 o posterior;
  • HPE MSA 2040, versión del firmware GL225P002-02 o posterior;
  • HPE MSA 2042, versión del firmware GL225P002-02 o posterior;
  • HPE MSA 1050, versión del firmware VE270P002-02 o posterior;
  • HPE MSA 2050, versión del firmware VL270P002-02 o posterior;
  • HPE MSA 2052, versión del firmware VL270P002-02 o posterior.
Detalle: 

Se han identificado posibles vulnerabilidades de seguridad de la lógica de sesión y de la reutilización de los tokens de sesión remota en los productos afectados. Se han reservado los identificadores CVE-2019-12001 y CVE-2019-12002 para estas vulnerabilidades.

Encuesta valoración

Desbordamiento de búfer en algunas aplicaciones Aspera de IBM

Fecha de publicación: 
01/04/2020
Importancia: 
4 - Alta
Recursos afectados: 

Todas las versiones de los productos:

  • Aspera High Speed Transfer Server,
  • Aspera High Speed Transfer Endpoint,
  • Aspera Proxy,
  • Aspera Transfer Cluster Manager,
  • Aspera Application on Demand,
  • Aspera Faspex on Demand,
  • Aspera Server on Demand,
  • Aspera Shares on Demand,
  • Aspera Streaming,
  • Aspera High Speed Transfer Server para Cloudpak para Integration (CP4I).
Descripción: 

IBM ha detectado una vulnerabilidad de criticidad alta que afecta a algunas de sus aplicaciones Aspera. Un atacante remoto, con conocimientos en Aspera, podría ejecutar comandos en una shell restringida apshell.

Solución: 

IBM ha publicado una serie de parches para solucionar la vulnerabilidad en función del producto afectado. Puede acceder a estos parches en la página de soporte que ha facilitado IBM.

Detalle: 

Ciertas aplicaciones Aspera son vulnerables a un desbordamiento de búfer, un atacante remoto, con conocimientos en Aspera, podría realizar una ejecución de comandos en una shell restringida apshell. Se ha reservado el identificador CVE-2020-4356 para esta vulnerabilidad

Encuesta valoración

Vulnerabilidad de falta de seguridad del protocolo DTLS en GnuTLS

Fecha de publicación: 
01/04/2020
Importancia: 
4 - Alta
Recursos afectados: 

GnuTLS, versión 3.6.3.

Descripción: 

Se ha detectado una vulnerabilidad, de severidad alta, en el protocolo DTLS utilizado por GnuTLS.

Solución: 

Actualizar GnuTLS a la versión 3.6.13 o posteriores.

Detalle: 

Se ha descubierto que GnuTLS 3.6.3 introdujo una regresión en la implementación del protocolo DTLS (Datagram Transport Layer Security). Este hecho originó que el cliente DTLS no contribuyera a la negociación DTLS, rompiendo las garantías de seguridad del protocolo DTLS. Se ha asignado el identificador CVE-2020-11501 para esta vulnerabilidad.

Encuesta valoración