Inicio / Content / Boletín de INCIBE-CERT del 16-01-2019

Boletín de INCIBE-CERT del 16-01-2019

Actualización de seguridad de Joomla! 3.9.2

Fecha de publicación: 
16/01/2019
Importancia: 
2 - Baja
Recursos afectados: 
  • Joomla! CMS, versiones desde la 2.5.0 hasta la 3.9.2
Descripción: 

Joomla! ha publicado una nueva versión que soluciona cuatro vulnerabilidades en el núcleo, todas ellas de criticidad baja.

Solución: 
  • Actualizar a la versión 3.9.2 disponible en su página web.
Detalle: 
  • Un escape inadecuado en mod_banners deriva en una vulnerabilidad XSS persistente. Se ha asignado el identificador CVE-2019-6264 para esta vulnerabilidad.
  • Un escape inadecuado en com_contact deriva en una vulnerabilidad XSS persistente. Se ha asignado el identificador CVE-2019-6261 para esta vulnerabilidad.
  • Las comprobaciones inadecuadas en la opción de configuración Global Configuration Text Filter permiten un XSS persistente. Se ha asignado el identificador CVE-2019-6263 para esta vulnerabilidad.
  • Las comprobaciones inadecuadas en la opción de configuración Global Configuration helpurl permiten un XSS persistente. Se ha asignado el identificador CVE-2019-6262 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos de Microsoft

Fecha de publicación: 
16/01/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Team Foundation Server 2017 versión 3.1
  • Team Foundation Server 2018 versiones 1.2 y 3.2
  • Skype for Business Server 2015 CU 8
Descripción: 

Microsoft ha corregido 3 vulnerabilidades fuera de ciclo, que afectaban a varios de sus productos.

Solución: 
  • Actualizar el sistema afectado a través de los parches automáticos distribuidos por Microsoft.
Detalle: 

Las vulnerabilidades de severidad alta son las siguientes:

  • Una vulnerabilidad de suplantación de identidad, cuando un servidor de Skype for Business Server no valida correctamente una solicitud especialmente diseñada, podría permitir a un atacante autenticado enviar dicha solicitud y ejecutar scripts. Se ha reservado el identificador CVE-2019-0624 para esta vulnerabilidad.
  • Una vulnerabilidad de Cross-site Scripting (XSS), cuando Team Foundation Server no valida correctamente la información proporcionada por el usuario, podría permitir a un atacante autenticado enviar un payload especialmente diseñado, y ejecutar scripts, que le permitirían leer contenido no autorizado, ejecutar código malicioso y suplantar la identidad de la víctima. Se ha reservado el identificador CVE-2019-0646 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha reservado el identificador CVE-2019-0647.

Encuesta valoración

Actualizaciones críticas en Oracle (Enero 2019)

Fecha de publicación: 
16/01/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Enterprise Manager Base Platform, versiones 12.1.0.5, 13.2, 13.3
  • Enterprise Manager for Virtualization, versiones 13.2.2, 13.2.3, 13.3.1
  • Enterprise Manager Ops Center, versiones 12.2.2, 12.3.3
  • Hyperion BI+, versión 11.1.2.4
  • Java Advanced Management Console, versión 2.12
  • JD Edwards EnterpriseOne Tools, versión 9.2
  • JD Edwards World Security, versiones A9.3, A9.3.1, A9.4
  • MySQL Connectors, versiones 2.1.8 y anteriores, 8.0.13 y anteriores
  • MySQL Enterprise Monitor, versiones 4.0.7 y anteriores, 8.0.13 y anteriores
  • MySQL Server, versiones 5.6.42 y anteriores, 5.7.24 y anteriores, 8.0.13 y anteriores
  • MySQL Workbench, versiones 8.0.13 y anteriores
  • Oracle Agile Engineering Data Management, versiones 6.1.3, 6.2.0, 6.2.1
  • Oracle Agile PLM, versiones 9.3.3, 9.3.4, 9.3.5, 9.3.6
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.2.0.0, 6.2.1.0, 6.2.2.0, 6.2.3.0, 6.2.3.1
  • Oracle API Gateway, versión 11.1.2.4.0
  • Oracle Application Testing Suite, versiones 12.5.0.3, 13.1.0.1, 13.2.0.1, 13.3.0.1
  • Oracle Argus Safety, versiones 8.1, 8.2
  • Oracle Banking Platform, versiones 2.5.0, 2.6.0, 2.6.1, 2.6.2
  • Oracle Business Process Management Suite, versiones 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
  • Oracle Communications Billing and Revenue Management, versiones 7.5, 12.0
  • Oracle Communications Converged Application Server, versiones anteriores a 7.0.0.1
  • Oracle Communications Converged Application Server - Service Controller, versión 6.1
  • Oracle Communications Diameter Signaling Router (DSR), versiones anteriores a 8.3
  • Oracle Communications Online Mediation Controller, versión 6.1
  • Oracle Communications Performance Intelligence Center (PIC) Software, versiones anteriores a 10.2.1
  • Oracle Communications Policy Management, versiones anteriores a 12.5
  • Oracle Communications Service Broker, versión 6.0
  • Oracle Communications Services Gatekeeper, versiones anteriores a 6.1.0.4.0
  • Oracle Communications Session Border Controller, versiones SCz7.4.0, SCz7.4.1, SCz8.0.0, SCz8.1.0
  • Oracle Communications Unified Inventory Management, versiones anteriores a 7.4.0
  • Oracle Communications Unified Session Manager, versión SCz7.3.5
  • Oracle Communications WebRTC Session Controller, versiones anteriores a 7.2
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7, 12.2.8
  • Oracle Endeca Server, versión 7.7.0
  • Oracle Enterprise Communications Broker, versiones PCz2.1, PCz2.2, PCz3.0
  • Oracle Enterprise Repository, versión 12.1.3.0.0
  • Oracle Enterprise Session Border Controller, versiones ECz7.4.0, ECz7.5.0, ECz8.0.0, ECz8.1.0
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 7.3.3, 7.3.5, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.5, 8.0.6, 8.0.7
  • Oracle FLEXCUBE Direct Banking, versión 12.0.2
  • Oracle FLEXCUBE Investor Servicing, versiones 12.0.4, 12.1.0, 12.3.0, 12.4.0, 14.0.0
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.3.0
  • Oracle GoldenGate Application Adapters, versión 12.3.2.1.1
  • Oracle Health Sciences Information Manager, versión 3.0
  • Oracle Healthcare Foundation, versiones 7.1, 7.2
  • Oracle Healthcare Master Person Index, versiones 3.0, 4.0
  • Oracle Hospitality Cruise Fleet Management, versión 9.0.10
  • Oracle Hospitality Cruise Shipboard Property Management System, versión 8.0.8
  • Oracle Hospitality Reporting and Analytics, versión 9.1.0
  • Oracle Hospitality Simphony, versión 2.10
  • Oracle HTTP Server, versión 12.2.1.3
  • Oracle Insurance Calculation Engine, versión 10.2
  • Oracle Insurance Insbridge Rating and Underwriting, versiones 5.2, 5.4, 5.5
  • Oracle Insurance Policy Administration J2EE, versiones 10.0, 10.2
  • Oracle Insurance Rules Palette, versiones 10.0, 10.2
  • Oracle Java SE, versiones 7u201, 8u192, 11.0.1
  • Oracle Java SE Embedded, versión 8u191
  • Oracle Managed File Transfer, versiones 12.2.1.3.0, 19.1.0.0.0
  • Oracle Outside In Technology, versiones 8.5.3, 8.5.4
  • Oracle Reports Developer, versión 12.2.1.3
  • Oracle Retail Back Office, versiones 13.3, 13.4, 14.0, 14.1
  • Oracle Retail Central Office, versiones 13.3, 13.4, 14.0, 14.1
  • Oracle Retail Convenience and Fuel POS Software, versión 2.8.1
  • Oracle Retail Customer Insights, versiones 15.0, 16.0
  • Oracle Retail Integration Bus, versión 17.0
  • Oracle Retail Merchandising System, versión 14.1
  • Oracle Retail Returns Management, versiones 13.3, 13.4, 14.0, 14.1
  • Oracle Retail Sales Audit, versión 15.0
  • Oracle Retail Service Backbone, versiones 13.1, 13.2, 14.0, 14.1, 15.0, 16.0
  • Oracle Retail Workforce Management Software, versiones 1.60.9, 1.64.0
  • Oracle Retail Xstore Payment, versión 3.3
  • Oracle Secure Global Desktop (SGD), versión 5.4
  • Oracle Service Architecture Leveraging Tuxedo, versiones 12.1.3.0.0, 12.2.2.0.0
  • Oracle SOA Suite, versiones 12.1.3.0.0, 12.2.1.3.0
  • Oracle Solaris, versiones 10, 11
  • Oracle Transportation Management, versiones 6.3.7, 6.4.1, 6.4.2, 6.4.3
  • Oracle Utilities Framework, versión 4.3.0.1-4.3.0.4
  • Oracle Utilities Network Management System, versiones 1.12.0.3, 2.3.0.0, 2.3.0.1, 2.3.0.2
  • Oracle VM VirtualBox, versiones anteriores a 5.2.24, anteriores a 6.0.2
  • Oracle Web Cache, versión 11.1.1.9.0
  • Oracle WebCenter Portal, versiones 11.1.1.9.0, 12.2.1.3.0
  • Oracle WebCenter Sites, versión 11.1.1.8.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.3
  • OSS Support Tools, versiones anteriores a 19.1
  • PeopleSoft Enterprise CC Common Application Objects, versión 9.2
  • PeopleSoft Enterprise CS Campus Community, versiones 9.0, 9.2
  • PeopleSoft Enterprise HCM eProfile Manager Desktop, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.55, 8.56, 8.57
  • PeopleSoft Enterprise SCM eProcurement, versión 9.2
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.4, 15.1, 15.2, 16.1, 16.2, 17.7-17.12, 18.8
  • Primavera Unifier, versiones 16.1, 16.2, 17.1-17.12, 18.8
  • Siebel Applications, versiones 18.10, 18.11
  • Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.8.2
  • Tape Library ACSLS, versión 8.4
Descripción: 

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.

Solución: 
  • Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.
Detalle: 
  • Esta actualización resuelve un total de 284 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.

Encuesta valoración