Inicio / Content / Boletín de INCIBE-CERT del 12-06-2019

Boletín de INCIBE-CERT del 12-06-2019

Actualización de seguridad de Joomla!

Fecha de publicación: 
12/06/2019
Importancia: 
2 - Baja
Recursos afectados: 

Joomla! CMS, versiones desde 3.6.0 hasta 3.9.6.

Descripción: 

Joomla! ha publicado dos nuevas versiones, la 3.9.8 y la 3.9.7, incluyendo en esta última la solución de tres vulnerabilidades de criticidad baja en su núcleo.

Solución: 

Actualizar a la última versión disponible en su página web, la versión 3.9.8.

Detalle: 

Las vulnerabilidades corregidas en la versión 3.9.7 son:

  • Vulnerabilidad de inyección de datos CSV en la exportación del componente "com_actionslogs".
  • Vulnerabilidad de tipo XSS en el campo "subform" al carecer de una suficiente validación de entrada.
  • Vulnerabilidad por un incorrecto uso de los controles de acceso y ACL que permite manipular el componente "com_joomlaupdate" por usuarios que no son administradores.

Encuesta valoración

Actualización de seguridad de SAP de junio de 2019

Fecha de publicación: 
12/06/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business Client, versión 6.5
  • Solution Manager, versión 7.2
  • SAP E-Commerce (Business-to-Consumer application), versiones: SAP-CRMJAV, SAP-CRMWEB, SAP-SHRWEB, SAP-SHRJAV, SAP-CRMAPP, SAP-SHRAPP 7.30, 7.31, 7.32, 7.33, 7.54
  • SAP R/3 Enterprise Application, versiones: EA-APPL  600, 602, 603, 604, 605, 606, 616, 617
  • SAP BusinessObjects Business Intelligence Platform (Administration Console), versiones 4.2, 4.3
  • SAP NetWeaver Process Integration (PI Integration Builder Web UI), versiones: SAP_XIESR: 7.10 hasta 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; SAP_XITOOL: 7.10 hasta 7.11, 7.30, 7.31, 7.40, 7.50, SAP_XIPCK 7.10 hasta 7.11, 7.20, 7.3
  • SAP Work Manager and SAP Inventory Manager, versiones SAP Work Manager 6.3.0, 6.4.0, 6.5 
  • SAP NetWeaver AS ABAP Platform, versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73, KERNEL 7.21, 7.45, 7.49, 7.53, 7.73
  • SAP NetWeaver Process Integration, versiones SAP_XIESR: 7.10 hasta 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; SAP_XITOOL: 7.10 hasta 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP HANA Extended Application Services (advanced model), versión 1
  • SAP Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0; Bank/CFM 4.63_20
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 
  • Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
  • Para solucionar la vulnerabilidad de severidad alta, se recomienda revisar la nota del fabricante, donde se detallan varios pasos manuales que incluyen no sólo cómo instalar el componente de software que la soluciona, sino también las dependencias de otras notas de seguridad de SAP que se deben aplicar en primer lugar y, por último, cómo realizar pasos manuales para proteger y cifrar correctamente las credenciales.
Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad y 3 actualizaciones, siendo 1 de ellas de severidad crítica, 1 alta, 11 medias  y 1 baja.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 5 vulnerabilidades de falta de verificación de autorización.
  • 5 vulnerabilidades de divulgación de información.
  • 1 vulnerabilidad de escalada de privilegios.
  • 2 vulnerabilidades de otro tipo.

Las notas de seguridad calificadas como crítica y alta se refieren a:

  • Cuando SAP Business Client se está ejecutando en un Chromium obsoleto, un atacante podría conseguir el acceso a uno de sus usuarios para ejecutar código Javascript malicioso. El impacto real depende de qué vulnerabilidad de Chromium está siendo explotada.
  • Una vulnerabilidad podría permitir a un atacante obtener credenciales de usuario válidas y la capacidad de crear cuentas de usuario privilegiadas, lo que supone un alto impacto en la confidencialidad. Se ha asignado el identificador CVE-2019-0291 para esta vulnerabilidad de severidad alta.

Los identificadores asignados para el resto de vulnerabilidades son: CVE-2019-0308, CVE-2019-0311, CVE-2019-0303, CVE-2019-0315, CVE-2019-0314, CVE-2019-0304, CVE-2018-0312, CVE-2019-0316, CVE-2019-0305, CVE-2019-0306, CVE-2019-2484 y CVE-2019-0307.

Encuesta valoración

Boletín de seguridad de Microsoft de junio de 2019

Fecha de publicación: 
12/06/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Adobe Flash Player
  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Office y Microsoft Office Services y Web Apps
  • ChakraCore
  • Skype para Business y Microsoft Lync
  • Microsoft Exchange Server
  • Azure
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft de este mes consta de 87 vulnerabilidades, 21 clasificadas como críticas y 66 como importantes.

Solución: 
Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • Ejecución remota de código.
  • Divulgación de información.
  • Elevación de privilegios.
  • Denegación de servicio.
  • Evasión de seguridad.
  • Suplantación.
  • Falsificación.

Encuesta valoración

Múltiples vulnerabilidades en productos Intel

Fecha de publicación: 
12/06/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Intel® Accelerated Storage Manager en Intel® RSTe, versiones anteriores a 5.5.0.2015
  • Intel® RAID Web Console 3 para Windows, versión 4.186 y anteriores
  • Intel® NUC Kit, consultar el apartado referencias para ver las versiones afectadas
  • Intel® Compute Card, consultar el apartado referencias para ver las versiones afectadas
  • Intel® Compute Stick, consultar el apartado referencias para ver las versiones afectadas
  • Open CIT y OpenAttestation, todas las versiones
  • Intel® Omni-Path Fabric Manager GUI, versiones anteriores a 10.9.2.1.1
  • Intel® PROSet/Wireless WiFi Software, versiones anteriores a 21.10 para Microsoft Windows 7, 8.1 y 10
  • Intel® Turbo Boost Max Technology 3.0 driver, versión 1.0.0.1035 y anteriores
  • Intel® SGX Linux client driver, versiones anteriores a 2.5
  • Intel® SGX DCAP Linux driver, versiones anteriores a 1.1
  • ITE Tech* Consumer Infrared Driver para Windows 10, versiones anteriores a 5.4.3.0
  • Intel® Chipset Device Software (INF Update Utility), versiones anteriores a 10.1.1.45
Descripción: 

Intel ha publicado múltiples vulnerabilidades que afectan a varios de sus productos.

Solución: 
Detalle: 

Las vulnerabilidades de criticidad alta son:

  • Una vulnerabilidad de tipo Reflected XSS en la interfaz web de Intel® Accelerated Storage Manager para Intel® RSTe, podría permitir a un usuario no autenticado causar una condición de denegación de servicio a través de un acceso por red. Se ha reservado el identificador CVE-2019-0130 para esta vulnerabilidad.
  • El firmware de Intel® NUC contiene múltiples vulnerabilidades que podrían permitir a un atacante la escalada de privilegios, provocar una condición de denegación de servicio y la divulgación de información. Se han reservado los identificadores CVE-2019-11123, CVE-2019-11124, CVE-2019-11125, CVE-2019-11126, CVE-2019-11127, CVE-2019-11128 y CVE-2019-11129.
  • Una validación de sesión insuficiente en la API de servicio para Intel® RWC3 podría permitir a un atacante no autenticado habilitar una escalada de privilegios a través de un acceso por red. Se ha reservado el identificador CVE-2019-11119 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han reservado los identificadores CVE-2019-0175, CVE-2019-0177, CVE-2019-0178, CVE-2019-0179, CVE-2019-0180, CVE-2019-0181, CVE-2019-0182, CVE-2019-0183, CVE-2019-11092, CVE-2019-11117, CVE-2019-0136, CVE-2019-0164, CVE-2019-0157, CVE-2018-3702, CVE-2019-0128 y CVE-2019-0174.

Encuesta valoración