Inicio / Content / Boletín de INCIBE-CERT del 15-07-2020

Boletín de INCIBE-CERT del 15-07-2020

Actualización de seguridad de Joomla! 3.9.20

Fecha de publicación: 
15/07/2020
Importancia: 
2 - Baja
Recursos afectados: 

Versiones de Joomla! de la 2.5.0 a la 3.9.19.

Descripción: 

Joomla! ha publicado una nueva versión que soluciona 6 vulnerabilidades, todas ellas de severidad baja, que afectan a su núcleo.

Solución: 

Actualizar Joomla! a la versión 3.9.20.

Detalle: 
  • La falta de un control de tokens en el punto final de ajax_install com_installer provoca una vulnerabilidad de CSRF. Se ha asignado el identificador CVE-2020-15695 para esta vulnerabilidad.
  • La falta de validación en el objeto de la tabla de grupos de usuarios podría resultar en una configuración de sitio caído. Se ha asignado el identificador CVE-2020-15699 para esta vulnerabilidad.
  • La falta de un control de tokens en la sección de solicitud de eliminación de com_privacy causaría una vulnerabilidad de CSRF. Se ha asignado el identificador CVE-2020-15695 para esta vulnerabilidad.
  • Los campos internos de sólo lectura, en la clase de la tabla de usuarios, podrían ser modificados por los usuarios. Se ha asignado el identificador CVE-2020-15697 para esta vulnerabilidad.
  • La falta de filtrado de entrada y escape permitiría ataques XSS en mod_random_image. Se ha asignado el identificador CVE-2020-15696 para esta vulnerabilidad.
  • Un filtrado inadecuado en la pantalla de información del sistema podría exponer credenciales de redis o proxy. Se ha asignado el identificador CVE-2020-15698 para esta vulnerabilidad.

Encuesta valoración

Actualizaciones críticas en Oracle (julio 2020)

Fecha de publicación: 
15/07/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Category Management Planning & Optimization, versión 15.0.3;
  • Customer Management y Segmentation Foundation, versiones 16.0, 17.0, 18.0;
  • Enterprise Manager Base Platform, versiones 12.1.0.5, 13.3.0.0, 13.4.0.0;
  • Enterprise Manager for Fusion Middleware, versión 12.1.0.5;
  • Enterprise Manager Ops Center, versión 12.4.0.0;
  • GoldenGate Stream Analytics, versiones anteriores a 19.1.0.0.1;
  • Hyperion Financial Close Management, versión 11.1.2.4;
  • Instantis EnterpriseTrack, versiones 17.1-17.3;
  • JD Edwards EnterpriseOne Orchestrator, versiones anteriores a 9.2.4.2;
  • JD Edwards EnterpriseOne Tools, versiones anteriores a 9.2.3.3, anteriores a 9.2.4.2;
  • MySQL Client, versiones 5.6.48 y anteriores, 5.7.30 y anteriores, 8.0.20 y anteriores;
  • MySQL Cluster, versiones 7.3.29 y anteriores, 7.4.28 y anteriores, 7.5.18 y anteriores, 7.6.14 y anteriores, 8.0.20 y anteriores;
  • MySQL Connectors, versiones 8.0.20 y anteriores;
  • MySQL Enterprise Monitor, versiones 4.0.12 y anteriores, 8.0.20 y anteriores;
  • MySQL Server, versiones 5.6.48 y anteriores, 5.7.30 y anteriores, 8.0.20 y anteriores;
  • Oracle Agile Engineering Data Management, versión 6.2.1.0;
  • Oracle Application Express, versiones 5.1-19.2;
  • Oracle Application Testing Suite, versiones 13.2.0.1, 13.3.0.1;
  • Oracle AutoVue, versión 21.0;
  • Oracle Banking Enterprise Collections, versiones 2.7.0-2.9.0;
  • Oracle Banking Payments, versiones 14.1.0-14.4.0;
  • Oracle Banking Platform, versiones 2.4.0-2.10.0;
  • Oracle Berkeley DB, versiones anteriores a 6.1.38, anteriores a 18.1.40;
  • Oracle BI Publisher, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Business Process Management Suite, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Coherence, versiones 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0;
  • Oracle Commerce Guided Search / Oracle Commerce Experience Manager, versiones 11.0, 11.1, 11.2, anteriores a 11.3.1;
  • Oracle Commerce Platform, versiones 11.1, 11.2, anteriores a 11.3.1;
  • Oracle Commerce Service Center, versiones 11.1, 11.2, anteriores a 11.3.1;
  • Oracle Communications Analytics, versión 12.1.1;
  • Oracle Communications Billing y Revenue Management, versiones 7.5.0.23.0, 12.0.0.3.0;
  • Oracle Communications BRM - Elastic Charging Engine, versiones 11.3, 12.0;
  • Oracle Communications Contacts Server, versión 8.0.0.4.0;
  • Oracle Communications Convergence, versiones 3.0.1.0-3.0.2.1;
  • Oracle Communications Diameter Signaling Router (DSR), versiones 8.0-8.4;
  • Oracle Communications Element Manager, versiones 8.1.1, 8.2.0, 8.2.1;
  • Oracle Communications Evolved Communications Application Server, versión 7.1;
  • Oracle Communications Instant Messaging Server, versión 10.0.1.4.0;
  • Oracle Communications Interactive Session Recorder, versiones 6.1-6.4;
  • Oracle Communications IP Service Activator, versiones 7.3.0, 7.4.0;
  • Oracle Communications LSMS, versiones 13.0-13.3;
  • Oracle Communications Messaging Server, versiones 8.0.2, 8.1.0;
  • Oracle Communications MetaSolv Solution, versión 6.3.0;
  • Oracle Communications Network Charging y Control, versiones 6.0.1, 12.0.0-12.0.3;
  • Oracle Communications Network Integrity, versiones 7.3.2-7.3.6;
  • Oracle Communications Operations Monitor, versiones 3.4, 4.1-4.3;
  • Oracle Communications Order y Service Management, versiones 7.3, 7.4;
  • Oracle Communications Services Gatekeeper, versiones 6.0, 6.1, 7.0;
  • Oracle Communications Session Border Controller, versiones 8.1.0, 8.2.0, 8.3.0;
  • Oracle Communications Session Report Manager, versiones 8.1.1, 8.2.0, 8.2.1;
  • Oracle Communications Session Route Manager, versiones 8.1.1, 8.2.0, 8.2.1;
  • Oracle Configuration Manager, versión 12.1.2.0.6;
  • Oracle Configurator, versiones 12.1, 12.2;
  • Oracle Data Masking y Subsetting, versiones 13.3.0.0, 13.4.0.0;
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c, [Spatial Studio] anteriores a 19.2.1;
  • Oracle E-Business Suite, versiones 12.1.1-12.1.3, 12.2.3-12.2.9;
  • Oracle Endeca Information Discovery Studio, versión 3.2.0;
  • Oracle Enterprise Communications Broker, versiones 3.0.0-3.2.0;
  • Oracle Enterprise Repository, versión 11.1.1.7.0;
  • Oracle Enterprise Session Border Controller, versiones 8.1.0, 8.2.0, 8.3.0;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.6-8.1.0;
  • Oracle Financial Services Compliance Regulatory Reporting, versiones 8.0.6-8.0.8;
  • Oracle Financial Services Lending y Leasing, versiones 12.5.0, 14.1.0-14.8.0;
  • Oracle Financial Services Liquidity Risk Management, versión 8.0.6;
  • Oracle Financial Services Loan Loss Forecasting y Provisioning, versiones 8.0.6-8.0.8;
  • Oracle Financial Services Market Risk Measurement y Management, versiones 8.0.6, 8.0.8;
  • Oracle Financial Services Regulatory Reporting for De Nederlysche Bank, versión 8.0.4;
  • Oracle FLEXCUBE Investor Servicing, versiones 12.1.0, 12.3.0, 12.4.0, 14.0.0, 14.1.0;
  • Oracle FLEXCUBE Private Banking, versiones 12.0.0, 12.1.0;
  • Oracle Fusion Middleware MapViewer, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Global Lifecycle Management/OPatch, versiones anteriores a 12.2.0.1.20;
  • Oracle GoldenGate, versiones anteriores a 19.1.0.0.0;
  • Oracle GraalVM Enterprise Edition, versiones 19.3.2, 20.1.0;
  • Oracle Health Sciences Empirica Inspections, versión 1.0.1.2;
  • Oracle Health Sciences Empirica Signal, versión 7.3.3;
  • Oracle Healthcare Master Person Index, versión 4.0.2;
  • Oracle Healthcare Translational Research, versiones 3.2.1, 3.3.1, 3.3.2, 3.4.0;
  • Oracle Help Technologies, versiones 11.1.1.9.0, 12.2.1.3.0;
  • Oracle Hospitality Guest Access, versiones 4.2.0, 4.2.1;
  • Oracle Hospitality Reporting y Analytics, versión 9.1.0;
  • Oracle Hyperion BI+, versión 11.1.2.4;
  • Oracle iLearning, versiones 6.1, 6.1.1;
  • Oracle Insurance Accounting Analyzer, versiones 8.0.6-8.0.9;
  • Oracle Insurance Data Gateway, versión 1.0;
  • Oracle Insurance Policy Administration J2EE, versiones 10.2.0, 10.2.4, 11.0.2, 11.1.0, 11.2.0;
  • Oracle Insurance Rules Palette, versiones 10.2.0, 10.2.4, 11.0.2, 11.1.0, 11.2.0;
  • Oracle Java SE, versiones 7u261, 8u251, 11.0.7, 14.0.1;
  • Oracle Java SE Embedded, versión 8u251;
  • Oracle Outside In Technology, versiones 8.5.4, 8.5.5;
  • Oracle Rapid Planning, versiones 12.1, 12.2;
  • Oracle Real User Experience Insight, versión 13.3.1.0;
  • Oracle Retail Assortment Planning, versiones 15.0, 15.0.3, 16.0, 16.0.3;
  • Oracle Retail Bulk Data Integration, versiones 15.0, 16.0;
  • Oracle Retail Customer Management y Segmentation Foundation, versión 18.0;
  • Oracle Retail Data Extractor for Merchyising, versiones 1.9, 1.10, 18.0;
  • Oracle Retail Extract Transform y Load, versión 19.0;
  • Oracle Retail Financial Integration, versiones 15.0, 16.0;
  • Oracle Retail Fusion Platform, versión 5.5;
  • Oracle Retail Integration Bus, versiones 15.0, 15.0.3, 16.0, 16.0.3;
  • Oracle Retail Invoice Matching, versión 16.0;
  • Oracle Retail Item Planning, versión 15.0.3;
  • Oracle Retail Macro Space Optimization, versión 15.0.3;
  • Oracle Retail Merchyise Financial Planning, versión 15.0.3;
  • Oracle Retail Merchyising System, versiones 15.0.3, 16.0.2, 16.0.3;
  • Oracle Retail Order Broker, versión 15.0;
  • Oracle Retail Predictive Application Server, versiones 14.0.3, 14.1.3, 15.0.3, 16.0.3;
  • Oracle Retail Regular Price Optimization, versiones 15.0.3, 16.0.3;
  • Oracle Retail Replenishment Optimization, versión 15.0.3;
  • Oracle Retail Sales Audit, versión 14.1;
  • Oracle Retail Service Backbone, versiones 14.1, 15.0, 16.0;
  • Oracle Retail Size Profile Optimization, versión 15.0.3;
  • Oracle Retail Store Inventory Management, versiones 14.0.4, 14.1.3, 15.0.3, 16.0.3;
  • Oracle Retail Xstore Point of Service, versiones 7.1, 15.0, 16.0, 17.0, 18.0, 19.0;
  • Oracle SD-WAN Aware, versión 8.2;
  • Oracle SD-WAN Edge, versiones 8.2, 9.0;
  • Oracle Security Service, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Solaris, versión 11;
  • Oracle TimesTen In-Memory Database, versiones anteriores a 18.1.2.1.0;
  • Oracle Transportation Management, versiones 6.3.7, 6.4.3;
  • Oracle Unified Directory, versiones 11.1.2.3.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Utilities Framework, versiones 4.3.0.5.0, 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0;
  • Oracle VM VirtualBox, versiones anteriores a 5.2.44, anteriores a 6.0.24, anteriores a 6.1.12;
  • Oracle WebCenter Portal, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle WebCenter Sites, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0;
  • Oracle ZFS Storage Appliance Kit, versión 8.8;
  • PeopleSoft Enterprise FIN Expenses, versión 9.2;
  • PeopleSoft Enterprise HCM Global Payroll Switzerly, versión 9.2;
  • PeopleSoft Enterprise HRMS, versión 9.2;
  • PeopleSoft Enterprise PeopleTools, versiones 8.56, 8.57, 8.58;
  • Primavera Gateway, versiones 16.2.0-16.2.11, 17.12.0-17.12.7, 18.8.0-18.8.9, 19.12.0-19.12.4;
  • Primavera P6 Enterprise Project Portfolio Management, versiones 16.1.0.0-16.2.20.1, 17.1.0.0-17.12.17.1, 18.1.0.0-18.8.19, 19.12.0-19.12.6;
  • Primavera Portfolio Management, versiones 16.1.0.0-16.1.5.1, 18.0.0.0-18.0.2.0, 19.0.0.0;
  • Primavera Unifier, versiones 16.1, 16.2, 17.7-17.12, 18.8, 19.12, [Mobile App] anteriores a 20.6;
  • Siebel Applications, versiones 2.20.5 y anteriores, 20.6 y anteriores.
Descripción: 

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.

Solución: 

Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Detalle: 

Esta actualización resuelve un total de 443 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.

Encuesta valoración

Actualización de seguridad de SAP de julio de 2020

Fecha de publicación: 
15/07/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP NetWeaver, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Business Client, versión 6.5;
  • SAP Disclosure Management, versión 1.0;
  • SAP Business Objects Business Intelligence Platform, versiones 4.1 y 4.2.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad, que afectan a diferentes productos, en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 8 notas de seguridad y 2 actualizaciones, siendo 2 de severidad crítica, 1 alta, 6 medias y 1 baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidad de Cross-Site Scripting,
  • 2 vulnerabilidades de divulgación de información,
  • 1 vulnerabilidad de falta de autenticación,
  • 1 vulnerabilidad de acceso a rutas no controlado (path traversal),
  • 1 vulnerabilidad de SSRF (Server Side Request Forgery),
  • 5 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • SAP NetWeaver AS JAVA (LM Configuration Wizard) no realiza una verificación de autenticación, lo que permitiría a un atacante, sin autenticación previa, ejecutar tareas de configuración para realizar acciones críticas contra el sistema SAP Java, incluida la capacidad de crear un usuario administrativo y, por lo tanto, comprometer la confidencialidad, integridad y disponibilidad del sistema. Se han asignado los identificadores CVE-2020-6287 y CVE-2020-6286 para esta vulnerabilidad.
  • SAP NetWeaver - XML Toolkit para JAVA (ENGINEAPI), bajo ciertas condiciones, permitiría a un atacante acceder a información que de otro modo estaría restringida, lo que llevaría a una divulgación de información. Se ha asignado el identificador CVE-2020-6285 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-6267, CVE-2020-6289, CVE-2020-6290, CVE-2020-6291, CVE-2020-6292, CVE-2020-6281, CVE-2020-6276, CVE-2020-6282, CVE-2020-6278, CVE-2020-6222 y CVE-2020-6280.

Encuesta valoración

Boletín de seguridad de Microsoft de julio de 2020

Fecha de publicación: 
15/07/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Microsoft Windows,
  • Microsoft Edge (basado en EdgeHTML),
  • Microsoft Edge (basado en Chromium) en modo IE,
  • Microsoft ChakraCore,
  • Internet Explorer,
  • Microsoft Office, Microsoft Office Services y Web Apps,
  • Windows Defender,
  • Skype para Business,
  • Visual Studio,
  • Microsoft OneDrive,
  • Open Source Software,
  • .NET Framework,
  • Azure DevOps.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de julio, consta de 115 vulnerabilidades, 12 clasificadas como críticas y 103 como importantes.

Solución: 
  • Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
  • IMPORTANTE: Microsoft destaca una vulnerabilidad de ejecución remota de código (RCE) que afecta a Windows Domain Name System (DNS) Server. La siguiente modificación del registro se ha identificado como una solución para esta vulnerabilidad (es necesario reiniciar el servicio DNS para que surta efecto):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • ejecución remota de código,
  • escalada de privilegios,
  • denegación de servicio,
  • divulgación de información,
  • suplantación de identidad (spoofing).

IMPORTANTE: Existe una vulnerabilidad de ejecución remota de código (RCE), a la que se ha denominado SIGRed, en los servidores de Windows Domain Name System (DNS) cuando no pueden gestionar correctamente las solicitudes. Un atacante podría enviar solicitudes maliciosas a un servidor DNS de Windows, lo que le permitiría ejecutar código arbitrario en el contexto de la cuenta del sistema local. Los servidores de Windows que están configurados como servidores DNS están expuestos a esta vulnerabilidad. Esta vulnerabilidad es susceptible de aprovecharse de forma masiva. Se ha asignado el identificador CVE-2020-1350 para esta vulnerabilidad denominada SigRed.

Encuesta valoración

Múltiples vulnerabilidades en Apache Tomcat

Fecha de publicación: 
15/07/2020
Importancia: 
5 - Crítica
Recursos afectados: 

Apache Tomcat, versiones:

  • desde la 7.0.27, hasta la 7.0.104;
  • desde la 8.5.0, hasta la 8.5.56;
  • desde la 9.0.0.M1, hasta la 9.0.36;
  • desde la 10.0.0-M1, hasta la 10.0.0-M6.
Descripción: 

Las versiones 7, 8, 9 y 10 de Apache Tomcat están afectadas por 2 vulnerabilidades, una severidad crítica y otra media, de tipo denegación de servicio (DoS) en WebSocket y DoS en el protocolo HTTP/2, respectivamente.

Solución: 

Actualizar a las versiones:

  • 7.0.105;
  • 8.5.57;
  • 9.0.37;
  • 10.0.0-M7.
Detalle: 
  • La longitud del payload en un marco de WebSocket no se valida correctamente. Las longitudes de payload no válidas podrían desencadenar un bucle infinito. Múltiples solicitudes con longitudes de carga no válidas podrían conducir a una denegación de servicio (DoS). Se ha asignado el identificador CVE-2020-13935 para esta vulnerabilidad.
  • Una conexión directa h2c (HTTP/2 sobre TCP) no libera el procesador HTTP/1.1 después de la actualización a HTTP/2. Si se hiciera un número suficiente de tales solicitudes, podría producirse una excepción OutOfMemoryException que llevaría a una denegación de servicio (DoS). No afecta a la versión 7 de Apache Tomcat. Se ha asignado el identificador CVE-2020-13934 para esta vulnerabilidad.

Encuesta valoración