Boletín de INCIBE-CERT del 15-11-2018

Vulnerabilidad de denegación de servicio en BIG-IP de F5

Fecha de publicación: 

15/11/2019

Importancia: 

4 - Alta

Recursos afectados: 

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator), versiones desde 14.0.0, hasta 14.1.0.1.

Descripción: 

Los servidores virtuales BIG-IP, con TLS 1.3, activado podrían experimentar una denegación de servicio (DoS) debido a mensajes entrantes no revelados.

Solución: 

Actualizar BIG-IP a las siguientes versiones:

• 15.0.0;
• 14.1.0.2.

Detalle: 

Existe una vulnerabilidad en la recepción de los mensajes no revelados en los servidores virtuales BIG-IP que dispongan de TLS 1.3 habilitado. Un atacante remoto podría generar una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-6659 para esta vulnerabilidad.

Referencias: 

K34450231: TLS 1.3 vulnerability CVE-2019-6659

Etiquetas: 

Actualización

Vulnerabilidad

Vulnerabilidad de inyección CSV en UCD de IBM

Fecha de publicación: 

15/11/2019

Importancia: 

4 - Alta

Recursos afectados: 

UCD - IBM UrbanCode Deploy.

Descripción: 

Se ha publicado una vulnerabilidad de inyección CSV que podría permitir la generación de un archivo de descarga CSV malicioso.

Solución: 

Actualizar a la versión 7.0.4.0 o posterior.

Detalle: 

La inyección de código, especialmente diseñado, en el UCD podría permitir a un atacante generar un archivo de descarga CSV malicioso al ser abierto desde herramientas de terceros no parcheadas. Se ha reservado el identificador CVE-2019-4490 para esta vulnerabilidad.

Referencias: 

Security Bulletin: CSV Injection (CVE-2019-4490)

Etiquetas: 

Actualización

IBM

Vulnerabilidad