Inicio / Content / Boletín de INCIBE-CERT del 11-05-2022

Boletín de INCIBE-CERT del 11-05-2022

Actualizaciones de seguridad de Microsoft de mayo de 2022

Fecha de publicación: 
11/05/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • .NET and Visual Studio;
  • Microsoft Exchange Server;
  • Microsoft Graphics Component;
  • Microsoft Local Security Authority Server (lsasrv);
  • Microsoft Office;
  • Microsoft Office Excel;
  • Microsoft Office SharePoint;
  • Microsoft Windows ALPC;
  • Remote Desktop Client;
  • Role: Windows Fax Service;
  • Role: Windows Hyper-V;
  • Self-hosted Integration Runtime;
  • Tablet Windows User Interface;
  • Visual Studio;
  • Visual Studio Code;
  • Windows Active Directory;
  • Windows Address Book;
  • Windows Authentication Methods;
  • Windows BitLocker;
  • Windows Cluster Shared Volume (CSV);
  • Windows Failover Cluster Automation Server;
  • Windows Kerberos;
  • Windows Kernel;
  • Windows LDAP - Lightweight Directory Access Protocol;
  • Windows Media;
  • Windows Network File System;
  • Windows NTFS;
  • Windows Point-to-Point Tunneling Protocol;
  • Windows Print Spooler Components;
  • Windows Push Notifications;
  • Windows Remote Access Connection Manager;
  • Windows Remote Desktop;
  • Windows Remote Procedure Call Runtime;
  • Windows Server Service;
  • Windows Storage Spaces Controller;
  • Windows WLAN Auto Config Service.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de mayo y que incluye toda la información comprendida entre los días 12/04/2022 y 11/05/2022 con la publicación del boletín de este mes, consta de 226 vulnerabilidades (con CVE asignado) y de 1 aviso de seguridad (con ADV asignado), calificadas como: 17 de severidad crítica, 175 importantes, 1 moderada, 2 bajas y 33 sin severidad asignada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • evasión de medidas de seguridad,
  • suplantación de identidad (spoofing).

Entre las vulnerabilidades corregidas se encuentra una vulnerabilidad crítica de ejecución remota de código en Azure Data Factory y Azure Synapse Pipelines:

  • CVE-20220-29972: la vulnerabilidad se produce en el conector de datos ODBC de terceros, utilizado para conectarse a Amazon Redshift, en Integration Runtime (IR) en Azure Synapse Pipelines y Azure Data Factory. Esta vulnerabilidad podría permitir a un atacante ejecutar comandos remotos en Integration Runtimes.

Encuesta valoración

Actualización de seguridad de SAP de mayo de 2022

Fecha de publicación: 
11/05/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business One Cloud, versión 1.1;
  • SAP Commerce, versiones 1905, 2005, 2105 y 2011;
  • SAP Customer Profitability Analytics, versión 2;
  • SAP Webdispatcher, versiones 7.22EXT, 7.49, 7.53, 7.77, 7.81, 7.83 y 7.85;
  • SAP Netweaver AS para ABAP y Java (ICM), versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, 8.04, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87 y 8.04;
  • SAP BusinessObjects Business Intelligence Platform, versiones 420 y 430;
  • SAP NetWeaver Application Server para ABAP y ABAP Platform, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 787 y 788;
  • SAP Employee Self Service (Fiori My Leave Request), versión 605;
  • SAP Host Agent, versión 7.22.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad, siendo 3 de severidad crítica, 2 de severidad alta y 5 de severidad media, y 4 actualizaciones de notas anteriores.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidades de ejecución remota de código (RCE);
  • 3 vulnerabilidades de Cross-Site Scripting (XSS);
  • 4 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de falta de autorización;
  • 1 vulnerabilidad de corrupción de memoria;
  • 1 vulnerabilidad de redirección URL.

La nota de seguridad más destacada del mes se refiere a la vulnerabilidad en Spring Framework en 6 aplicaciones del fabricante (SAP HANA Extended Application Services, SAP Customer Checkout, Sybase PowerDesigner Web, SAP Customer Profitability Analytics, SAP Commerce y SAP Business One Cloud), con el identificador CVE-2022-22965 asignado.

Encuesta valoración