Inicio / Content / Boletín de INCIBE-CERT del 11-09-2019

Boletín de INCIBE-CERT del 11-09-2019

Actualización de seguridad de SAP de septiembre de 2019

Fecha de publicación: 
11/09/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business Client, versión 6.5;
  • SAP Business One Client, versiones 9.2 y 9.3;
  • SAP Business One, versión 9.3;
  • SAP BusinessObjects Business Intelligence Platform (CMC), versiones 4.1, 4.2 y 4.3;
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2;
  • SAP Diagnostic Agent (LM-Service), versión 7.20;
  • SAP HANA Extended Application Services, versiones anteriores a la 1.0.118;
  • SAP HANA, versión 1.0, 2.0;
  • SAP Kernel (RFC), versiones KRNL32NUC, KRNL32UC y KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73 y KERNEL 7.21, 7.49, 7.53, 7.73, 7.76;
  • SAP NetWeaver AS para Java (Web Container)-ENGINEAPI, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Process Integration Runtime Workbench – MESSAGING y SAP_XIA, versiones 7.31, 7.40 y 7.50;
  • SAP Supplier Relationship Management (Master Data Management Catalog) (SRM_MDM_CAT), versiones 3.73, 7.31 y 7.32.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 9 notas de seguridad y 4 actualizaciones, siendo 4 de ellas de severidad crítica, 1 alta, 7 medias y una baja.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de inyección de comandos en el sistema operativo;
  • 2 vulnerabilidades de denegación de servicio;
  • 2 vulnerabilidades de Cross-Site Scripting (XSS);
  • 1 vulnerabilidad de escalada de privilegios;
  • 1 vulnerabilidad de inyección de código;
  • 5 vulnerabilidades de otro tipo.

Las notas de seguridad calificadas como críticas y alta se refieren a:

  • Una vulnerabilidad de omisión de la comprobación de entrada de usuario. Un atacante podría inyectar código, como un contenido web dinámico, y provocar una ejecución no autorizada de comandos, revelar información sensible o generar una condición de denegación de servicio. Se ha asignado el identificador CVE-2019-0355 para esta vulnerabilidad.
  • Una actualización del boletín de abril de 2018.
  • Una actualización del boletín de julio de 2019.
  • Un atacante autenticado podría generar una condición de denegación de servicio. Se ha asignado el identificador CVE-2019-0364 para esta vulnerabilidad.

Encuesta valoración

Boletín de seguridad de Microsoft de septiembre de 2019

Fecha de publicación: 
11/09/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Microsoft Windows;
  • Internet Explorer;
  • Microsoft Edge (basado en EdgeHTML);
  • ChakraCore;
  • Microsoft Office, Microsoft Office Services y Web Apps;
  • Adobe Flash Player;
  • Microsoft Lync;
  • Visual Studio;
  • Microsoft Exchange Server;
  • .NET Framework;
  • Microsoft Yammer;
  • .NET Core;
  • ASP.NET;
  • Team Foundation Server;
  • Project Rome.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft correspondiente al mes de septiembre consta de 77 vulnerabilidades, 17 clasificadas como críticas y 60 como importantes.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de información de la instalación de las mismas actualizaciones, se informa de los distintos métodos para llevarlas a cabo.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • escalada de privilegios;
  • ejecución remota de código;
  • divulgación de información;
  • denegación de servicio;
  • suplantación;
  • omisión de característica de seguridad.

Encuesta valoración