Inicio / Content / Boletín de INCIBE-CERT del 14-11-2018

Boletín de INCIBE-CERT del 14-11-2018

Actualización de seguridad de SAP de noviembre 2018

Fecha de publicación: 
14/11/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP HANA Streaming Analytics, versión 2.0
  • SAP Fiori Client
  • Project “Gardener”, versión 0.12.4
  • SAP Disclosure Management, versiones 10.x
  • SAP BusinessObjects BI Platform Server, versiones 4.1 y 4.2
  • SAP_ABA, versiones desde la 7.00 hasta la 7.02, desde la 7.10 hasta la 7.11, desde la 7.30, 7.31, 7.40, 7.50 y 75C hasta la 75D
  • SAP Basis (TREX / BWA installation), versiones desde la 7.0 hasta la 7.02, desde la 710 hasta la 7.11, desde la 7.30, 7.31, 7.40 y 7.50 hasta la 7.53
  • Knowledge Management (XMLForms) in SAP NetWeaver, versiones desde la 7.30, 7.31, 7.40 hasta la 7.50
  • SAP BusinessObjects Business Intelligence, versiones 4.1 y 4.2
  • SAP BusinessObjects Business Intelligence Platform (BIWorkspace) versiones 4.1 y 4.2
  • SAP NetWeaver AS ABAP Business Server Pages
  • SAP NetWeaver (forums), versiones 7.30, 7.31 y 7.40
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2
  • SAP Mobile Secure Android Application, version 6.60.19942.0
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad y 3 actualizaciones, siendo 1 de ellas de severidad crítica, 5 altas y 8 de criticidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 1 vulnerabilidad de inyección de código.
  • 2 vulnerabilidades de cross-site scripting.
  • 2 vulnerabilidades de denegación de servicio.
  • 1 vulnerabilidad de incorrecta validación de XML.
  • 1 vulnerabilidad de redirección de URL.
  • 7 vulnerabilidades de otro tipo.

La nota de seguridad calificada como crítica se refieren a:

  • Una vulnerabilidad en SAP HANA Streaming Analytics podría permitir a un atacante la ejecución remota de código con los mismos permisos que el servicio que los ejecuta, pudiendo así acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos del servidor SAP, incluyendo el código fuente de la aplicación, la configuración y los archivos críticos del sistema, lo que permitiría obtener información crítica técnica y de negocio almacenada en el sistema SAP vulnerable.

En cuanto a las etiquetadas con severidad alta, se tratan de vulnerabilidades del tipo: denegación de servicio, falta de comprobación de autorización y cross-site scripting.

Encuesta valoración

Múltiples vulnerabilidades en productos de Intel

Fecha de publicación: 
14/11/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • Intel® RST anterior a la versión 16.7
  • Intel® Driver & Support Assistant anterior a 3.6.0.4
  • Intel® RAID Web Console v3 para Windows anteriores a la versión 4.186
  • Intel® Media Server Studio anterior a 2019 Beta Release
  • Intel® Ready Mode Technology, todas las versiones
  • Intel® Parallel Studio XE 2018 Update 3 y anteriores
  • Intel® RAID Web Console v3 anterior a 4.186
  • Intel® PROSet/Wireless WiFi Software anterior a la versión 20.90
Descripción: 

Intel ha publicado una vulnerabilidad de severidad alta, 4 medias, 2 bajas y una sin severidad específica, que afectan a varios de sus productos.

Solución: 

Actualizar los productos afectados desde el centro de controladores y software.

Detalle: 

Un atacante que aproveche alguna de las vulnerabilidades publicadas podría llegar a realizar alguna de las siguientes acciones:

  • Escalada de privilegios.
  • Denegación de servicio.
  • Divulgación de información.
  • Un usuario autenticado podría escalar privilegios a través de un vector local.
  • Manipulación remota de la consola de salida del RWC (RAID Web Console).

Se han reservado los siguientes identificadores para estas vulnerabilidades: CVE-2018-3635, CVE-2018-3621, CVE-2018-3696, CVE-2018-3697, CVE-2018-3698, CVE-2018-12174 y CVE-2018-3699.

Encuesta valoración

Boletín de seguridad de Microsoft de noviembre de 2018

Fecha de publicación: 
14/11/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office y Microsoft Office Services y Web Apps
  • ChakraCore
  • .NET Core
  • Skype Empresarial
  • Azure App Service en Azure Stack
  • Team Foundation Server
  • Microsoft Dynamics 365 (on-premises) versión 8
  • PowerShell Core
  • Microsoft.PowerShell.Archive 1.2.2.0
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft este mes consta de 58 vulnerabilidades, 12 clasificadas como críticas y 46 como importantes, siendo el resto de severidad media o baja.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de información de instalación de las mismas actualizaciones, se informa de los distintos métodos para llevarlas a cabo.

Detalle: 

El tipo de vulnerabilidades publicadas se corresponde a las siguientes:

  • Ejecución remota de código.
  • Escalada de privilegios.
  • Revelación de información.
  • Evasión de seguridad.
  • Manipulación.
  • Suplantación.

Encuesta valoración