Inicio / Content / Boletín de INCIBE-CERT del 12-01-2022

Boletín de INCIBE-CERT del 12-01-2022

Múltiples vulnerabilidades en productos de TIBCO

Fecha de publicación: 
12/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • TIBCO eFTL:
    • Community Edition, versión 6.7.2 y anteriores;
    • Developer Edition, versión 6.7.2 y anteriores;
    • Enterprise Edition, versión 6.7.2 y anteriores.
  • TIBCO FTL:
    • Community Edition, versión 6.7.2 y anteriores;
    • TIBCO FTL - Developer Edition, versión 6.7.2 y anteriores;
    • TIBCO FTL - Enterprise Edition, versión 6.7.2 y anteriores.
Descripción: 

TIBCO ha publicado 4 vulnerabilidades, 1 de severidad crítica, 2 altas y 1 media, por las que un atacante podría obtener pleno acceso a la comunicación en un canal eFTL y a la comunicación en un canal existente en el sistema afectado.

Solución: 

Actualizar los sistemas afectados a la versión correspondiente:

  • TIBCO eFTL:
    • Community Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior;
    • Developer Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior;
    • Enterprise Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior.
  • TIBCO FTL
    • Community Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior
    • Developer Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior
    • Enterprise Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior
Detalle: 
  • Un código embebido utilizado en el servidor por defecto podría permitir a un atacante la evasión de la autenticación para obtener acceso completo a la comunicación en un canal eFTL existente. Se ha asignado el identificador CVE-2021-43052 para esta vulnerabilidad.
  • Una vulnerabilidad podría permitir a un atacante, no autenticado, la obtención del clúster secreto de otra aplicación conectada al servidor y obtener pleno acceso a la comunicación en un canal eFTL existente en el sistema afectado. Se ha asignado el identificador CVE-2021-43053 para esta vulnerabilidad.
  • Una vulnerabilidad podría permitir a un atacante, con pocos privilegios y acceso a la red, generar tokens de API para acceder a cualquier otro canal con permisos arbitrarios y obtener acceso completo a la comunicación en un canal existente en el sistema afectado. Se ha asignado el identificador CVE-2021-43054 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-43055.

Encuesta valoración

Actualización de seguridad de SAP de enero de 2022

Fecha de publicación: 
12/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Customer Checkout;
  • SAP BTP Cloud Foundry;
  • SAP Landscape Management;
  • SAP Connected Health Platform 2.0 - Fhirserver;
  • SAP HANA XS Advanced Cockpit  (incluye corrección proporcionada en 3131397, 3132822);
  • SAP NetWeaver Process Integration (Java Web Service Adapter)  (incluye corrección proporcionada en 3132204, 3130521, 3133005);
  • SAP HANA XS Advanced;
  • Internet of Things Edge Platform;
  • SAP BTP Kyma;
  • SAP Enable Now Manager;
  • SAP Cloud for Customer (add-in para Lotus notes client);
  • SAP Localization Hub, servicio de conformidad digital para la India;
  • SAP Edge Services en Premise Edition;
  • SAP Edge Services Cloud Edition;
  • SAP BTP API Management (Tenant Cloning Tool);
  • SAP NetWeaver ABAP Server y ABAP Platform (Adobe LiveCycle Designer 11.0);
  • SAP Digital Manufacturing Cloud para Edge Computing;
  • SAP Enterprise Continuous Testing by Tricentis
  • SAP Cloud-to-Cloud Interoperability;
  • Reference Template for enabling ingestion y persistence of time series data in Azure;
  • SAP Business One;
  • SAP S/4HANA, versiones - 100, 101, 102, 103, 104, 105, 106;
  • SAP Business One, versión - 10;
  • SAP Enterprise Threat Detection, versión - 2.0;
  • SAP NetWeaver AS for ABAP y ABAP Platform, versiones - 701, 702, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 786;
  • SAP GRC Access Control, versiones - V1100_700, V1100_731, V1200_750.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 3 actualizaciones de notas anteriores, siendo 1 de severidad crítica, 2 de severidad alta, 5 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 1 vulnerabilidad de ejecución remota de código;
  • múltiples vulnerabilidades en la aplicación F0743 Create Single Payment de SAP S/4HANA;
  • 1 vulnerabilidad de inyección de código;
  • 3 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de Cross-Site Scripting (XSS);
  • 1 vulnerabilidad de validación inadecuada;
  • 1 falta la comprobación de la autorización;

Las notas de seguridad más destacadas se refieren a:

  • Una vulnerabilidad de ejecución de código asociada al componente Apache Log4j 2. Se ha asignado el identificador CVE-2021-44228 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-22531, CVE-2021-44235, CVE-2021-42066, CVE-2021-44234, CVE-2022-22529, CVE-2022-42067, CVE-2021-42068, CVE-2021-42070, CVE-2021-42069, CVE-2021-42069 y CVE-2021-44233.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de enero de 2022

Fecha de publicación: 
12/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • .NET Framework,
  • Microsoft Dynamics,
  • Microsoft Edge (Chromium-based),
  • Microsoft Exchange Server,
  • Microsoft Graphics Component,
  • Microsoft Office,
  • Microsoft Office Excel,
  • Microsoft Office SharePoint,
  • Microsoft Office Word,
  • Microsoft Teams,
  • Microsoft Windows Codecs Library,
  • Open Source Software,
  • Role: Windows Hyper-V,
  • Tablet Windows User Interface,
  • Windows Account Control,
  • Windows Active Directory,
  • Windows AppContracts API Server,
  • Windows Application Model,
  • Windows BackupKey Remote Protocol,
  • Windows Bind Filter Driver,
  • Windows Certificates,
  • Windows Cleanup Manager,
  • Windows Clipboard User Service,
  • Windows Cluster Port Driver,
  • Windows Common Log File System Driver,
  • Windows Connected Devices Platform Service,
  • Windows Cryptographic Services,
  • Windows Defender,
  • Windows Devices Human Interface,
  • Windows Diagnostic Hub,
  • Windows DirectX,
  • Windows DWM Core Library,
  • Windows Event Tracing,
  • Windows Geolocation Service,
  • Windows HTTP Protocol Stack,
  • Windows IKE Extension,
  • Windows Installer,
  • Windows Kerberos,
  • Windows Kernel,
  • Windows Libarchive,
  • Windows Local Security Authority,
  • Windows Local Security Authority Subsystem Service,
  • Windows Modern Execution Server,
  • Windows Push Notifications,
  • Windows RDP,
  • Windows Remote Access Connection Manager,
  • Windows Remote Desktop,
  • Windows Remote Procedure Call Runtime,
  • Windows Resilient File System (ReFS),
  • Windows Secure Boot,
  • Windows Security Center,
  • Windows StateRepository API,
  • Windows Storage,
  • Windows Storage Spaces Controller,
  • Windows System Launcher,
  • Windows Task Flow Data Engine,
  • Windows Tile Data Repository,
  • Windows UEFI,
  • Windows UI Immersive Server,
  • Windows User Profile Service,
  • Windows User-mode Driver Framework,
  • Windows Virtual Machine IDE Drive,
  • Windows Win32K,
  • Windows Workstation Service Remote Protocol.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de enero, consta de 127 vulnerabilidades, de las cuales 10 son de severidad crítica, 92 importantes, 1 media y 24 sin severidad asignada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • elusión de medidas de seguridad,
  • suplantación de identidad (spoofing).

Encuesta valoración