Boletín de INCIBE-CERT del 17-03-2022

Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación:

17/03/2022

Importancia:

3 - Media

Recursos afectados:

Drupal, versiones anteriores a la 9.3.8 y 9.2.15.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Descripción:

Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.

Solución:

Actualizar:

Drupal 9.3 a la versión 9.3.8;
Drupal 9.2 a la versión 9.2.15.

Detalle:

Las vulnerabilidades son posibles si Drupal está configurado para permitir el uso de la librería CKEditor para la edición WYSIWYG. Un atacante que pueda crear o editar contenido (incluso sin acceso al propio CKEditor) podría explotar una o más vulnerabilidades de Cross-Site Scripting (XSS) para dirigirse a usuarios con acceso al CKEditor WYSIWYG, incluyendo administradores del sitio con acceso privilegiado. Se han asignado los identificadores CVE-2022-24728 y CVE-2022-24729 para estas vulnerabilidades.

Referencias:

Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-005

Etiquetas:

Actualización

CMS

Vulnerabilidad

[Actualización 18/03/2022] Múltiples vulnerabilidades en BIND

Fecha de publicación:

17/03/2022

Importancia:

4 - Alta

Recursos afectados:

BIND, versiones:
- desde 9.11.0, hasta 9.11.36;
- desde 9.12.0, hasta 9.16.26;
- desde 9.16.11, hasta 9.16.26;
- desde 9.17.0, hasta 9.18.0.
BIND Supported Preview Editions, versiones:
- desde 9.11.4-S1, hasta 9.11.36-S1;
- desde 9.16.8-S1, hasta 9.16.26-S1;
- desde 9.16.11-S1 hasta 9.16.26-S1.

Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas ya que se consideran en su fin de vida útil.

Descripción:

[Actualización 18/03/2022] Se han publicado 4 vulnerabilidades: 2 de severidad alta y 2 medias, que podrían permitir a un atacante finalizar el proceso named, enviar información falsa a los clientes, causar la terminación del proceso BIND debido a un fallo de aserción o hacer que las conexiones a BIND permanezcan en estado CLOSE_WAIT durante un periodo de tiempo indefinido, incluso después de que el cliente haya finalizado la conexión.

Solución:

Actualizar a:

BIND:
- BIND 9.11.37;
- BIND 9.16.27;
- BIND 9.18.1;
BIND Supported Preview Edition:
- BIND 9.11.37-S1;
- BIND 9.16.27-S1.

Detalle:

Una vulnerabilidad se refiere a que el envío de patrones repetidos, de consultas específicas, a servidores con la característica RFC 8198 Aggressive Use de DNSSEC-Validated Cache (synth-from-dnssec) activada, podían permitir a un atacante causar un fallo INSIST en query.c:query_dname que hace que named se cierre inesperadamente. Se ha asignado el identificador CVE-2022-0635 para esta vulnerabilidad de severidad alta.
[Actualización 18/03/2022] Cuando la función resume_dslookup() es llamada como resultado de un timeout en la vida útil del mecanismo de protección en el procesamiento de una petición para el registro DS, se podría producir un fallo en la aserción, lo que podría causar la finalización del proceso BIND. Se ha asignado el identificador CVE-2022-0667 para esta vulnerabilidad de severidad alta.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-25220 y CVE-2022-0396.

Referencias:

CVE-2021-25220: DNS forwarders - cache poisoning vulnerability

CVE-2022-0396: DoS from specifically crafted TCP packets

CVE-2022-0635: DNAME insist with synth-from-dnssec enabled

[Actualización 18/03/2022] CVE-2022-0667: Assertion failure on delayed DS lookup

Etiquetas:

Actualización

Vulnerabilidad

[Actualización 17/03/2022] Bucle infinito en OpenSSL

Fecha de publicación:

16/03/2022

Importancia:

4 - Alta

Recursos afectados:

OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:

clientes TLS que consumen certificados de servidor;
servidores TLS que consumen certificados de clientes;
proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
cualquier otra cosa que analice parámetros de curva elíptica ASN.1.

[Actualización 17/03/2022] LibreSSL, versiones anteriores a 3.3.6, 3.4.3 y 3.5.1.

Descripción:

Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.

Solución:

OpenSSL 1.0.2 debe actualizarse a la versión 1.0.2zd (sólo para clientes de soporte premium);
OpenSSL 1.1.1 debe actualizarse a la versión 1.1.1n;
OpenSSL 3.0 debe actualizarse a la versión 3.0.2.

OpenSSL 1.1.0 ya no dispone de soporte de actualizaciones, por lo que los usuarios deben actualizar a OpenSSL 3.0 o 1.1.1.

[Actualización 17/03/2022] LibreSSL, actualizar a las versiones 3.3.6, 3.4.3 y 3.5.1.

Detalle:

La función BN_mod_sqrt(), que calcula una raíz cuadrada modular, contiene un error que podría provocar un bucle infinito para módulos no primos. Sería posible desencadenar el bucle infinito si se crea un certificado que tiene parámetros de curva explícitos no válidos. Se ha asignado el identificador CVE-2022-0778 para esta vulnerabilidad.

Referencias:

OpenSSL Security Advisory [15 March 2022]

[Actualización 17/03/2022] OpenSSL/LibreSSL Vulnerability

Etiquetas:

Actualización

SSL/TLS

Vulnerabilidad

Accesos corporativos

Boletín de INCIBE-CERT del 17-03-2022