Inicio / Content / Boletín de INCIBE-CERT del 10-03-2021

Boletín de INCIBE-CERT del 10-03-2021

Actualización de seguridad de SAP de marzo de 2021

Fecha de publicación: 
10/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Solution Manager (User Experience Monitoring), versión 7.2;
  • SAP Business Client, versión 6.5;
  • SAP Manufacturing Integration e Intelligence, versiones 15.1, 15.2, 15.3 y 15.4;
  • SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
  • SAP HANA, versión 2.0;
  • SAP Enterprise Financial Services (Bank Customer Accounts), versiones 101, 102, 103, 104, 105, 600, 603, 604, 605, 606, 616, 617, 618 y 800;
  • SAP NetWeaver Knowledge Management, versiones 7.01, 7.02, 7.30,7.31, 7.40 y 7.50;
  • SAP Payment Engine, versión 500;
  • SAP BusinessObjects Business Intelligence Platform (Web Services), versiones 410, 420 y 430;
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 731, 7.40 y 7.50;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP ERP, versiones 600, 602, 603, 604, 605, 606, 616, 617 y 618;
  • SAP S/4 HANA, versiones 100, 101, 102, 103 y 104;
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 9 notas de seguridad y 4 actualizaciones de notas anteriores, siendo 4 de severidad crítica, 1 alta y 8 medias.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de falta de comprobación de autenticación,
  • 1 vulnerabilidad de inyección de código,
  • 10 vulnerabilidades de validación incorrecta de entrada,
  • 4 vulnerabilidades de falta de comprobación de autorización,
  • 1 vulnerabilidad de SSRF (Server Side Request Forgery),
  • 4 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • SAP Manufacturing Intelligence and Integrations (SAP MII): se corrige una vulnerabilidad de inyección de código muy crítica en la que un atacante puede interceptar una solicitud al servidor, inyectar código JSP malicioso en la solicitud y reenviarlo al servidor. Se ha asignado el identificador CVE-2021-21480 para esta vulnerabilidad.
  • SAP NetWeaver AS JAVA (MigrationService): se corrige la verificación de autorización que podría permitir a un atacante no autorizado obtener privilegios administrativos. Esto podría resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2021-21481 para esta vulnerabilidad.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de marzo de 2021

Fecha de publicación: 
10/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Application Virtualization;
  • Azure;
  • Azure DevOps;
  • Azure Sphere;
  • Internet Explorer;
  • Microsoft ActiveX;
  • Microsoft Exchange Server;
  • Microsoft Edge (Chromium-based);
  • Microsoft Graphics Component;
  • Microsoft Office;
  • Microsoft Office Excel;
  • Microsoft Office PowerPoint;
  • Microsoft Office SharePoint;
  • Microsoft Office Visio;
  • Microsoft Windows Codecs Library;
  • Power BI;
  • Role: DNS Server;
  • Role: Hyper-V;
  • Visual Studio;
  • Visual Studio Code;
  • Windows Admin Center;
  • Windows Container Execution Agent;
  • Windows DirectX;
  • Windows Error Reporting;
  • Windows Event Tracing;
  • Windows Extensible Firmware Interface;
  • Windows Folder Redirection;
  • Windows Installer;
  • Windows Media;
  • Windows Overlay Filter;
  • Windows Print Spooler Components;
  • Windows Projected File System Filter Driver;
  • Windows Registry;
  • Windows Remote Access API;
  • Windows Storage Spaces Controller;
  • Windows Update Assistant;
  • Windows Update Stack;
  • Windows UPnP Device Host;
  • Windows User Profile Service;
  • Windows WalletService;
  • Windows Win32K.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de marzo, consta de 89 vulnerabilidades, clasificadas 14 como críticas y 75 como importantes.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio;
  • escalada de privilegios;
  • divulgación de información;
  • ejecución remota de código;
  • elusión de las medidas de seguridad;
  • suplantación de identidad (spoofing).

Microsoft también ha corregido hoy otras dos vulnerabilidades 0day con identificadores CVE-2021-26411 y CVE-2021-27077.

Encuesta valoración

Múltiples vulnerabilidades en Aruba Instant

Fecha de publicación: 
10/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Aruba Instant, versiones:

  • branch 6.4.x: 6.4.4.8-4.2.4.18 y anteriores;
  • branch 6.5.x: 6.5.4.18 y anteriores;
  • branch 8.3.x: 8.3.0.14 y anteriores;
  • branch 8.4.x: 8.4.0.5 y anteriores;
  • branch 8.5.x: 8.5.0.11 y anteriores;
  • branch 8.6.x: 8.6.0.7 y anteriores;
  • branch 8.7.x: 8.7.1.1 y anteriores.
Descripción: 

Varios investigadores han notificado 19 vulnerabilidades, 3 de severidad crítica, 8 altas y 8 medias, que afectan a múltiples versiones de Aruba Instant.

Solución: 

Actualizar Aruba Instant a las siguientes versiones:

  • branch 6.4.x: 6.4.4.8-4.2.4.19 y posteriores;
  • branch 6.5.x: 6.5.4.19 y posteriores;
  • branch 8.3.x: 8.3.0.15 y posteriores;
  • branch 8.4.x: 8.4.0.6 y posteriores;
  • branch 8.5.x: 8.5.0.12 y posteriores;
  • branch 8.6.x: 8.6.0.8 y posteriores;
  • branch 8.7.x: 8.7.1.2 y posteriores.
Detalle: 

Existen múltiples vulnerabilidades de desbordamiento de búfer, mediante el envío de paquetes, especialmente diseñados, destinados al puerto UDP (8211) de PAPI (protocolo de gestión de puntos de acceso de Aruba Networks), que podrían permitir la ejecución remota de código arbitrario como un usuario privilegiado en el sistema operativo subyacente. Se han asignado los identificadores CVE-2019-5319, CVE-2021-25144 y CVE-2021-25149 para estas vulnerabilidades críticas.

El resto de vulnerabilidades altas y medias son de los siguientes tipos:

  • ejecución remota de comandos,
  • escritura de archivos arbitrarios,
  • inyección de comandos,
  • denegación de servicio,
  • omisión de autenticación,
  • XSS reflejado,
  • lectura de archivos a través de una condición de carrera,
  • creación de directorios arbitrarios,
  • lectura de archivos arbitrarios,
  • divulgación de información remota.

Para estas vulnerabilidades se han asignado los identificadores: CVE-2019-5317, CVE-2020-24635, CVE-2020-24636, CVE-2021-25143, CVE-2021-25145, CVE-2021-25146, CVE-2021-25148, CVE-2021-25150, CVE-2021-25155, CVE-2021-25156, CVE-2021-25157, CVE-2021-25158, CVE-2021-25159, CVE-2021-25160, CVE-2021-25161 y CVE-2021-25162.

Encuesta valoración