Inicio / Content / Boletín de INCIBE-CERT del 12-04-2019

Boletín de INCIBE-CERT del 12-04-2019

Múltiples vulnerabilidades de lectura fuera de límites en productos VMware

Fecha de publicación: 
12/04/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • VMware vSphere ESXi (ESXi) versiones:
    • 6.5
    • 6.7
  • VMware Workstation Pro / Player (Workstation) versiones:
    • 15.X
    • 14.X
  • VMware Fusion Pro / Fusion (Fusion) versiones:
    • 11.x
    • 10.x
Descripción: 

VMware ha detectado 3 vulnerabilidades de criticidad alta del tipo lectura fuera de límites que afectan a varios de sus productos.

Solución: 

VMware ha publicado diversas actualizaciones, en función del producto y versión afectada, que mitigan las vulnerabilidades.

Detalle: 
  • Una vulnerabilidad de lectura fuera de límites en la funcionalidad vertex shader podría permitir a un atacante, que accediese a una máquina virtual con los gráficos 3D habilitados, revelar información o generar una condición de denegación de servicio en la máquina virtual. Se ha reservado el identificador CVE-2019-5516 para esta vulnerabilidad.
  • Múltiples vulnerabilidades del tipo lectura fuera de límites en shader translator podrían permitir a un atacante, que accediese a una máquina virtual con los gráficos 3D habilitados, revelar información o generar una condición de denegación de servicio en la máquina virtual. Se ha reservado el identificador CVE-2019-5517 para esta vulnerabilidad.
  • Una vulnerabilidad de lectura fuera de límites podría permitir a un atacante, que accediese a una máquina virtual con los gráficos 3D habilitados, revelar información o generar una condición de denegación de servicio en la máquina virtual. Se ha reservado el identificador CVE-2019-5520 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en API Connect de IBM

Fecha de publicación: 
12/04/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • IBM API Connect, versiones desde 5.0.0.0 hasta 5.0.8.6

Descripción: 

Se han publicado dos vulnerabilidades de tipo inyección de comandos e inclusión de archivos locales (LFI, Local File Inclusion) en API Connect.

Solución: 
  • IBM ha solucionado ambas vulnerabilidades en la versión 5.0.8.6 iFix.
Detalle: 
  • IBM API Connect Developer Portal es vulnerable a la inyección de comandos. Un atacante que realice una petición especialmente diseñada puede ejecutar código arbitrario en el servidor y obtener acceso completo al sistema. Se ha reservado el identificador CVE-2019-4202 para esta vulnerabilidad.
  • IBM API Connect Developer Portal puede ser aprovechado por los desarrolladores de aplicaciones para descargar archivos arbitrarios del sistema operativo del host y llevar a cabo ataques SSRF (Server Side Request Forgery). Se ha reservado el identificador CVE-2019-4203 para esta vulnerabilidad.

Encuesta valoración