Inicio / Content / Boletín de INCIBE-CERT del 15-04-2020

Boletín de INCIBE-CERT del 15-04-2020

Inyección de comandos en Integrated Data Protection Appliance de Dell EMC

Fecha de publicación: 
15/04/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Dell EMC Integrated Data Protection Appliance, versiones 2.0, 2.1, 2.2, 2.3 y 2.4.
Descripción: 

Dell EMC ha detectado una vulnerabilidad de severidad alta que afecta a Integrated Data Protection Appliance.

Solución: 

Actualizar Dell EMC Integrated Data Protection Appliance a la versión 2.5.

Los usuarios que dispongan de la versión Integrated Data Protection Appliance 2.0, deberán actualizar previamente a la versión 2.1, luego a la versión 2.3.1, y finalmente a la 2.5.

Detalle: 

Existe una vulnerabilidad de inyección de comandos en el componente Appliance Configuration Manager. Un atacante remoto, autenticado, con privilegios de root, podría inyectar comandos en la API de ese componente, y de este modo, modificar contraseñas y ejecutar comandos. Se ha reservado el identificador CVE-2020-5350 para esta vulnerabilidad.

Encuesta valoración

Actualización de seguridad de SAP de abril de 2020

Fecha de publicación: 
15/04/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Commerce, versiones 6.6, 6.7, 1808, 1811 y 1905;
  • SAP Diagnostic Agent (LM-Service), versión 7.20;
  • SAP NetWeaver:
    • Knowledge Management, versiones 7.00, 7.01, 7.02, 7.30, 7.31, 7.40 y 7.50;
    • AS (Application Server) Java (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
    • AS ABAP, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 75A, 75B, 75C, 75D y 75E;
  • SAP Business Objects Business Intelligence Platform, versiones 4.1, 4.2 y 4.3;
  • SAP OrientDB, versión 3.0;
  • SAP Solution Manager (Diagnostics Agent), versión 7.2;
  • SAP Host Agent, versión 7.21;
  • SAP Landscape Management, versión 3.0;
  • SAP Adaptive Extensions, versión 1.0;
  • SAP ERP, versiones 618, 730 y EAPPLGLO 607 ;
  • SAP S/4 HANA, versiones 100, 101, 102, 103, 104, FSAPPL 400, 450, 500 y S4FPSL 100;
  • SAP Business Client, versiones 6.5 y 7.0 ;
  • SAP Commerce, versiones 1811 y 1905;
  • SAP Fiori Launchpad, versiones 753 y 754.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 26 notas de seguridad, de las cuales 5 son de severidad crítica, 5 de severidad alta y 16 de severidad media. Además, se incluyen 3 actualizaciones de notas de seguridad publicadas con anterioridad, incluidas dentro de las 26 totales (2 corresponden a severidad crítica y 1 a media).

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 11 vulnerabilidades de XSS (Cross-Site Scripting),
  • 4 vulnerabilidades de divulgación de información,
  • 3 vulnerabilidades de falta de comprobación de autenticación,
  • 2 vulnerabilidades de inyección de código,
  • 2 vulnerabilidades de redirección de URL,
  • 1 vulnerabilidad de acceso a rutas no controlado,
  • 1 vulnerabilidad de falta de autenticación,
  • 1 vulnerabilidad de falta de validación de XML,
  • 8 vulnerabilidades de otro tipo.

Para estas vulnerabilidades se han asignado los siguientes identificadores: CVE-2020-6238, CVE-2019-0330, CVE-2020-6225, CVE-2020-6219, CVE-2020-6230, CVE-2020-6235, CVE-2020-6208, CVE-2020-6237, CVE-2020-6234, CVE-2020-6236, CVE-2020-6195, CVE-2020-6212, CVE-2020-6224, CVE-2020-6216, CVE-2020-6215, CVE-2020-6213, CVE-2020-6217, CVE-2020-6229, CVE-2020-6226, CVE-2020-6231, CVE-2020-6222, CVE-2020-6228, CVE-2020-6227, CVE-2020-6232, CVE-2020-6210, CVE-2020-6214 y CVE-2020-6233.

Encuesta valoración

Múltiples vulnerabilidades en ClearPass Policy Manager de Aruba

Fecha de publicación: 
15/04/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • ClearPass Policy Manager, versiones 6.8.x, anteriores a la versión 6.8.4;
  • ClearPass Policy Manager, versiones 6.7.x, anteriores a la versión 6.7.13.
Descripción: 

Los investigadores, Luke Young, Sathish y Darrell Damstedt, han reportado a Aruba 4 vulnerabilidades, una de severidad crítica, una de severidad alta y dos de severidad media. Un atacante remoto, no autenticado, podría ejecutar código arbitrario, realizar una escalada de privilegios, revelar información confidencial o evadir las restricciones de seguridad y comprometer el cluster.

Solución: 
  • Actualizar ClearPass Policy Manager, versiones 6.8.x, a la versión 6.8.4;
  • Actualizar ClearPass Policy Manager, versiones 6.7.x, a la versión 6.7.13;
Detalle: 
  • La vulnerabilidad de severidad crítica podría permitir a un atacante, que se encuentre en el mismo segmento de red que el de la interfaz de gestión de ClearPass, realizar cambios en algunas bases de datos de ClearPass mediante el envío de peticiones HTTP especialmente generadas. Pudiendo comprometer completamente el cluster. Se ha reservado el identificador CVE-2020-7114 para esta vulnerabilidad.
  • La vulnerabilidad de criticidad alta se debe a la existencia de una inyección en el lado del servidor que podría permitir a un atacante, autenticado, realizar una ejecución remota de código. Se ha reservado el identificador CVE-2020-7111 para esta vulnerabilidad.
  • A las vulnerabilidades de severidad media se les han reservado los identificadores CVE-2020-7110 y CVE-2020-7113.

Encuesta valoración

Boletín de seguridad de Intel de abril de 2020

Fecha de publicación: 
15/04/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Intel® Modular Server MFS2600KISPP Compute Module, todas las versiones;
  • Intel® NUC 8 Rugged Kit NUC8CCHKR;
  • Intel® NUC Board NUC8CCHB;
  • Intel® NUC 7 Essential PC NUC7CJYSAL;
  • Intel® NUC Kit NUC7CJYH
  • Intel® NUC Kit NUC7PJYH;
  • Intel® NUC Kit NUC6CAYS;
  • Intel® NUC Kit NUC6CAYH;
  • Intel® NUC Kit DE3815TYKHE;
  • Intel® NUC Board DE3815TYBE;
  • Intel® Compute Stick STCK1A32WFC.
Descripción: 

Los investigadores Michael N. Henry, de DCG Red Team, y Dmitry Frolov han reportado 4 vulnerabilidades, 2 de severidad alta y 2 medias, que permitirían a un atacante realizar una escalada de privilegios o una denegación de servicio.

Solución: 
  • Para Intel® Modular Server MFS2600KISPP Compute Module, el fabricante recomienda dejar de utilizar el producto, ya que se encuentra descontinuado.
  • Para Intel® NUC e Intel® Compute Stick, actualizar el firmware a la última versión, tal y como aparece descrito en la tabla Affected Products del aviso.
Detalle: 
  • La comprobación inadecuada de condiciones en Intel(R) Modular Server MFS2600KISPP Compute Module puede permitir a un atacante adyacente, no autenticado, habilitar la escalada de privilegios. Se ha reservado el identificador CVE-2020-0578 para esta vulnerabilidad.
  • Unas restricciones inadecuadas de búfer en el firmware para algunos Intel(R) NUC pueden permitir a un atacante local, autenticado, realizar una escalada de privilegios. Se ha reservado el identificador CVE-2020-0600 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media, se han reservado los identificadores CVE-2020-0576 y CVE-2020-0577.

Encuesta valoración

Múltiples vulnerabilidades en IBM QRadar SIEM

Fecha de publicación: 
15/04/2020
Importancia: 
4 - Alta
Recursos afectados: 

IBM QRadar, desde la versión 7.3.0, hasta la 7.3.3 Patch 2;

Descripción: 

Los permisos de archivo incorrectos y las credenciales embebidas en IBM QRadar SIEM, podrían permitir a un atacante la escalada de privilegios o el uso de dichas credenciales.

Detalle: 
  • Los permisos de archivo incorrectos podrían permitir a un atacante la escalada de privilegios. Se ha reservado el identificador CVE-2020-4270 para esta vulnerabilidad.
  • La presencia de credenciales embebidas, como una contraseña o clave criptográfica, que es usada para su propia autenticación de entrada, comunicación saliente hacia componentes externos o cifrado de datos internos, podría permitir a un atacante utilizar dichas credenciales. Se ha reservado el identificador CVE-2020-4269 para esta vulnerabilidad

Encuesta valoración

Actualizaciones críticas en Oracle (abril 2020)

Fecha de publicación: 
15/04/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Application Performance Management, versiones 12.1.0.5, 13.2.0.0, 13.3.0.0;
  • Application Service Level Management, versiones 13.2.0.0, 13.3.0.0;
  • Enterprise Manager Base Platform, versiones 12.1.0.5, 13.2.0.0, 13.3.0.0;
  • Hyperion Financial Management, versión 11.1.2.4;
  • Hyperion Financial Reporting, versión 11.1.2.4;
  • Identity Manager Connector, versión 9.0;
  • Instantis EnterpriseTrack, versiones 17.1-17.3;
  • Java Advanced Management Console, versión 2.16;
  • JD Edwards EnterpriseOne Tools, versión 9.2;
  • JD Edwards World Security, versiones A9.3, A9.3.1, A9.4;
  • MICROS Relate CRM Software, versión 11.4;
  • MySQL Client, versiones 5.6.47 y anteriores, 5.7.29 y anteriores, 8.0.18 y anteriores;
  • MySQL Cluster, versiones 7.3.28 y anteriores, 7.4.27 y anteriores, 7.5.17 y anteriores, 7.6.13 y anteriores, 8.0.19 y anteriores;
  • MySQL Connectors, versiones 5.1.48 y anteriores, 8.0.19 y anteriores;
  • MySQL Enterprise Monitor, versiones 4.0.11.5331 y anteriores, 8.0.18.1217 y anteriores;
  • MySQL Server, versiones 5.6.47 y anteriores, 5.7.29 y anteriores, 8.0.19 y anteriores;
  • MySQL Workbench, versiones 8.0.19 y anteriores;
  • Oracle Access Manager, versiones 11.1.2.3.0, 12.2.1.3.0;
  • Oracle Agile PLM, versiones 9.3.3, 9.3.5, 9.3.6;
  • Oracle API Gateway, versión 11.1.2.4.0;
  • Oracle Application Express, versiones anteriores a la 19.2;
  • Oracle Application Testing Suite, versiones 13.2.0.1, 13.3.0.1;
  • Oracle Banking Enterprise Collections, versiones 2.7.0, 2.8.0;
  • Oracle Banking Enterprise Originations, versiones 2.7.0, 2.8.0;
  • Oracle Banking Enterprise Product Manufacturing, versiones 2.7.0, 2.8.0;
  • Oracle Banking Platform, versiones 2.4.0, 2.4.1, 2.5.0, 2.6.0, 2.6.1, 2.6.2, 2.7.0, 2.7.1, 2.9.0;
  • Oracle Big Data Discovery, versión 1.6;
  • Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Business Process Management Suite, versión 12.2.1.4.0;
  • Oracle Coherence, versiones 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Communications ASAP Cartridges, versiones 7.2, 7.3;
  • Oracle Communications Calendar Server, versiones 8.0.0.2.0, 8.0.0.3.0;
  • Oracle Communications Converged Application Server - Service Controller, versión 6.1;
  • Oracle Communications Diameter Signaling Router (DSR), versiones 8.0.0, 8.1.0, 8.2.0, 8.2.1;
  • Oracle Communications Element Manager, versiones 8.0.0, 8.1.0, 8.1.1, 8.2.0;
  • Oracle Communications Evolved Communications Application Server, versión 7.1;
  • Oracle Communications Messaging Server, versiones 8.0.2, 8.1.0;
  • Oracle Communications Operations Monitor, versiones 3.4.0, 4.0.0, 4.1.0, 4.2.0, 4.3.0;
  • Oracle Communications Service Broker, versiones 6.0, 6.1;
  • Oracle Communications Services Gatekeeper, versiones 6.0, 6.1;
  • Oracle Communications Session Report Manager, versiones 8.0.0, 8.1.0, 8.1.1, 8.2.0;
  • Oracle Communications Session Route Manager, versiones 8.0.0, 8.1.0, 8.1.1, 8.2.0;
  • Oracle Communications Unified Inventory Management, versiones 7.3.0, 7.4.0;
  • Oracle Communications WebRTC Session Controller, versión 7.2;
  • Oracle Configurator, versiones 12.1, 12.2;
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c;
  • Oracle E-Business Suite, versiones 12.1.1-12.1.3, 12.2.3-12.2.9;
  • Oracle Endeca Information Discovery Integrator, versión 3.2.0;
  • Oracle Endeca Server, versión 7.7.0;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.6-8.0.9;
  • Oracle Financial Services Asset Liability Management, versiones 8.0.6, 8.0.7;
  • Oracle Financial Services Balance Sheet Planning, versión 8.0.8;
  • Oracle Financial Services Data Foundation, versiones 8.0.6-8.0.9;
  • Oracle Financial Services Deposit Insurance Calculations for Liquidity Risk Management, versiones 8.0.7, 8.0.8;
  • Oracle Financial Services Funds Transfer Pricing, versiones 8.0.6, 8.0.7;
  • Oracle Financial Services Hedge Management and IFRS Valuations, versiones 8.0.6-8.0.8;
  • Oracle Financial Services Liquidity Risk Management, versión 8.0.6;
  • Oracle Financial Services Liquidity Risk Measurement and Management, versiones 8.0.7, 8.0.8;
  • Oracle Financial Services Loan Loss Forecasting and Provisioning, versiones 8.0.6-8.0.8;
  • Oracle Financial Services Market Risk Measurement and Management, versiones 8.0.6, 8.0.8;
  • Oracle Financial Services Price Creation and Discovery, versión 8.0.7;
  • Oracle Financial Services Profitability Management, versiones 8.0.6, 8.0.7;
  • Oracle Financial Services Revenue Management and Billing Analytics, versiones 2.6, 2.7, 2.8;
  • Oracle FLEXCUBE Core Banking, versión 4.0;
  • Oracle FLEXCUBE Private Banking, versiones 12.0, 12.1;
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.3.0;
  • Oracle Global Lifecycle Management NextGen OUI Framework, versiones 12.2.1.3.0, 12.2.1.4.0, 13.9.4.2.2;
  • Oracle Global Lifecycle Management OPatch, versiones anteriores a la 11.2.0.3.23, anteriores a la 12.2.0.1.19, anteriores a la 13.9.4.2.1;
  • Oracle GraalVM Enterprise Edition, versiones 19.3.1, 20.0.0;
  • Oracle Health Sciences Information Manager, versión 3.0;
  • Oracle Healthcare Data Repository, versión 7.0;
  • Oracle Hospitality Reporting and Analytics, versión 9.1.0;
  • Oracle HTTP Server, versión 11.1.1.9.0;
  • Oracle In-Memory Performance-Driven Planning, versiones 12.1, 12.2;
  • Oracle Insurance Accounting Analyzer, versiones 8.0.6-8.0.9;
  • Oracle Java SE, versiones 7u251, 8u241, 11.0.6, 14;
  • Oracle Java SE Embedded, versión 8u241;
  • Oracle Knowledge, versiones 8.6.0-8.6.3;
  • Oracle Managed File Transfer, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Outside In Technology, versiones 8.5.4, 8.5.5;
  • Oracle Real User Experience Insight, versiones 13.1.2.1, 13.2.3.1, 13.3.1.0;
  • Oracle Retail Advanced Inventory Planning, versiones 14.0, 15.0, 16.0;
  • Oracle Retail Back Office, versión 14.1;
  • Oracle Retail Central Office, versión 14.1;
  • Oracle Retail Customer Management and Segmentation Foundation, versión 18.0;
  • Oracle Retail Merchandising System, versión 16.0;
  • Oracle Retail Order Broker, versiones 15.0, 16.0, 18.0, 19.0;
  • Oracle Retail Point-of-Service, versión 14.1;
  • Oracle Retail Predictive Application Server, versiones 15.0.3, 16.0.3;
  • Oracle Retail Returns Management, versión 14.1;
  • Oracle Retail Store Inventory Management, versión 16.0;
  • Oracle Retail Xstore Point of Service, versiones 7.1, 15.0, 16.0, 17.0, 18.0, 18.0.1;
  • Oracle SD-WAN Edge, versiones 7.3, 8.0, 8.1, 8.2;
  • Oracle Secure Backup, versiones anteriores a la 18.1;
  • Oracle SOA Suite, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Solaris, versiones 10, 11;
  • Oracle Transportation Management, versiones 6.3.7, 6.4.2, 6.4.3;
  • Oracle Unified Directory, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Utilities Framework, versiones 2.2.0, 4.2.0.2, 4.2.0.3, 4.3.0.2-4.3.0.6, 4.4.0.0, 4.4.0.2;
  • Oracle Utilities Network Management System, versiones 1.12.0.3, 2.3.0.1, 2.3.0.2, 2.4.0.0;
  • Oracle VM VirtualBox, versiones anteriores a la 5.2.40, anteriores a la 6.0.20, anteriores a la 6.1.6;
  • Oracle WebCenter Portal, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle WebCenter Sites, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0;
  • OSS Support Tools, versiones 20.0, 20.1;
  • PeopleSoft Enterprise CS Campus Community, versión 9.2;
  • PeopleSoft Enterprise HCM Absence Management, versión 9.2;
  • PeopleSoft Enterprise HRMS, versión 9.2;
  • PeopleSoft Enterprise PeopleTools, versiones 8.56, 8.57, 8.58;
  • PeopleSoft Enterprise SCM Purchasing, versión 9.2;
  • Primavera Gateway, versiones 16.2.0-16.2.11, 17.12.0-17.12.6, 18.8.0-18.8.8, 19.12.0;
  • Primavera P6 Enterprise Project Portfolio Management, versiones 16.2.0.0-16.2.19.3, 17.12.0.0-17.12.17.0, 18.8.0.0-18.8.18.0, 19.12.1.0-19.12.3.0, 20.1.0.0-20.2.0.0;
  • Primavera Unifier, versiones 16.1, 16.2, 17.7-17.12, 18.8, 19.12;
  • Siebel Applications, versiones 20.2 y anteriores;
  • StorageTek Tape Analytics SW Tool, versión 2.3.0;
  • Sun ZFS Storage Appliance Kit, versión 8.8.
Descripción: 

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.

Solución: 

Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Detalle: 

Esta actualización resuelve un total de 397 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.

Encuesta valoración

Boletín de seguridad de Microsoft de abril de 2020

Fecha de publicación: 
15/04/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Microsoft Windows; 
  • Microsoft Edge (basado en EdgeHTML); 
  • Microsoft Edge (basado en Chromium); 
  • ChakraCore; 
  • Internet Explorer; 
  • Microsoft Office, Microsoft Office Services y Web Apps; 
  • Windows Defender; 
  • Visual Studio; 
  • Microsoft Dynamics; 
  • Microsoft Apps para Android; 
  • Microsoft Apps para Mac.
Impacto: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de abril, consta de 112 vulnerabilidades, 17 clasificadas como críticas y 95 como importantes.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • ejecución remota de código,
  • escalada de privilegios,
  • denegación de servicio,
  • divulgación de información,
  • suplantación de identidad (spoofing),
  • evasión de restricciones de seguridad.

Encuesta valoración