Inicio / Content / Boletín de INCIBE-CERT del 10-11-2021

Boletín de INCIBE-CERT del 10-11-2021

Actualización de seguridad de SAP de noviembre de 2021

Fecha de publicación: 
10/11/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP ABAP Platform Kernel, versiones 7.77, 7.81, 7.85, 7.86;
  • SAP Commerce, versiones 2105.3, 2011.13, 2005.18, 1905.34;
  • CA Introscope Enterprise Manager (SAP Solution Manager y SAP Focused Run), versiones 9.7, 10.1, 10.5, 10.7;
  • SAP GUI para Windows, versiones anteriores a 7.60 PL13, 7.70 PL4;
  • SAP ERP HCM Portugal, versiones 600, 604, 608;
  • SAP ERP Financial Accounting (RFOPENPOSTING_FR) , versiones SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730, SAPSCORE 125, S4CORE, 100, 101, 102, 103, 104, 105;
  • SAP NetWeaver AS para ABAP y ABAP Platparam, versiones 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756;
Descripción: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 5 notas de seguridad y 2 actualizaciones de notas anteriores, siendo 1 de severidad crítica, 2 de severidad alta y 4 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidades de ausencia de comprobación de autorización;
  • 1 vulnerabilidad de divulgación de información;
  • 2 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • La ausencia de comprobación de autorización en el Kernel de la Plataforma ABAP podría permitir a un atacante autenticado la escalada de privilegios. La vulnerabilidad afecta a las conexiones de confianza con otros sistemas a través de la comunicación RFC y HTTP, permitiendo al atacante ejecutar la lógica específica de la aplicación en otros sistemas para leer y modificar datos. Se ha asignado el identificador CVE-2021-40501 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-40502, CVE-2020-6369, CVE-2021-40503, CVE-2021-42062, CVE-2021-38164 y CVE-2021-40504.

Encuesta valoración

Múltiples vulnerabilidades en productos de Citrix

Fecha de publicación: 
10/11/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Citrix ADC y Citrix Gateway 13.0, versiones anteriores a la 13.0-83.27;
  • Citrix ADC y Citrix Gateway 12.1, versiones anteriores a la 12.1-63.22;
  • Citrix ADC y NetScaler Gateway 11.1, versiones anteriores a la 11.1-65.23;
  • Citrix ADC 12.1-FIPS, versiones anteriores a la 12.1-55.257;
  • Citrix SD-WAN WANOP Edition 11.4, versiones anteriores a la 11.4.2;
  • Citrix SD-WAN WANOP Edition 10.2, versiones anteriores a la 10.2.9c.
Descripción: 

Citrix ha publicado una vulnerabilidad de severidad crítica y otra de severidad baja que podrían permitir a un atacante causar una condición de denegación de servicio.

Solución: 

Actualizar según el producto a su versión:

  • 13.1-4.43 u otra posterior de 13.1,
  • 13.0-83.27 u otra posterior de 13.0,
  • 12.1-63.22 u otra posterior de 12.1,
  • 11.1-65.23 u otra posterior de 11.1,
  • 12.1-55.257 u otra posterior de 12.1-FIPS,
  • 11.4.2 u otra posterior de 11.4,
  • 10.2.9c u otra posterior de 10.2.
Detalle: 
  • Una vulnerabilidad de consumo de recursos no controlada en los productos afectados podría permitir a un atacante no autenticado causar una condición de denegación de servicio si el dispositivo está configurado como una pasarela VPN o un servidor virtual AAA. Se ha asignado el identificador CVE-2021-22955 para esta vulnerabilidad crítica.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2021-22956.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de noviembre de 2021

Fecha de publicación: 
10/11/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • 3D Viewer;
  • Azure;
  • Azure RTOS;
  • Azure Sphere;
  • Microsoft Dynamics;
  • Microsoft Edge (basado en Chromium);
  • Microsoft Edge (basado en Chromium) en modo Internet Explorer;
  • Microsoft Exchange Server;
  • Microsoft Office;
  • Microsoft Office Access;
  • Microsoft Office Excel;
  • Microsoft Office SharePoint;
  • Microsoft Office Word;
  • Microsoft Windows;
  • Microsoft Windows Codecs Library;
  • Power BI;
  • Role: Windows Hyper-V;
  • Visual Studio;
  • Visual Studio Code;
  • Windows Active Directory;
  • Windows COM;
  • Windows Core Shell;
  • Windows Cred SSProvider Protocol;
  • Windows Defender;
  • Windows Desktop Bridge;
  • Windows Diagnostic Hub;
  • Windows Fastfat Driver;
  • Windows Feedback Hub;
  • Windows Hello;
  • Windows Installer;
  • Windows Kernel;
  • Windows NTFS;
  • Windows RDP;
  • Windows Scripting;
  • Windows Virtual Machine Bus.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de noviembre, consta de 79 vulnerabilidades, clasificadas 6 como críticas, 50 importantes y 23 sin severidad asignada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • omisión de función de seguridad,
  • suplantación de identidad (spoofing),
  • modificación de los parámetros que se envían al servidor web como puntos de entrada de la aplicación (tampering).

Microsoft también ha corregido 6 vulnerabilidades 0day con la siguiente casuística:

  • 4 vulnerabilidades divulgadas públicamente, pero no explotadas activamente: CVE-2021-38631, CVE-2021-41371, CVE-2021-43208 y CVE-2021-43209;
  • 2 vulnerabilidades explotadas activamente: CVE-2021-42292 y CVE-2021-42321.

Encuesta valoración