Inicio / Content / Boletín de INCIBE-CERT del 17-03-2022

Boletín de INCIBE-CERT del 17-03-2022

Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación: 
17/03/2022
Importancia: 
3 - Media
Recursos afectados: 

Drupal, versiones anteriores a la 9.3.8 y 9.2.15.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Descripción: 

Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.

Solución: 

Actualizar:

  • Drupal 9.3 a la versión 9.3.8;
  • Drupal 9.2 a la versión 9.2.15.
Detalle: 

Las vulnerabilidades son posibles si Drupal está configurado para permitir el uso de la librería CKEditor para la edición WYSIWYG. Un atacante que pueda crear o editar contenido (incluso sin acceso al propio CKEditor) podría explotar una o más vulnerabilidades de Cross-Site Scripting (XSS) para dirigirse a usuarios con acceso al CKEditor WYSIWYG, incluyendo administradores del sitio con acceso privilegiado. Se han asignado los identificadores CVE-2022-24728 y CVE-2022-24729 para estas vulnerabilidades.

Encuesta valoración

[Actualización 18/03/2022] Múltiples vulnerabilidades en BIND

Fecha de publicación: 
17/03/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • BIND, versiones:
    • desde 9.11.0, hasta 9.11.36;
    • desde 9.12.0, hasta 9.16.26;
    • desde 9.16.11, hasta 9.16.26;
    • desde 9.17.0, hasta 9.18.0.
  • BIND Supported Preview Editions, versiones:
    • desde 9.11.4-S1, hasta 9.11.36-S1;
    • desde 9.16.8-S1, hasta 9.16.26-S1;
    • desde 9.16.11-S1 hasta 9.16.26-S1.

Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas ya que se consideran en su fin de vida útil.

Descripción: 
Solución: 

Actualizar a:

  • BIND:
    • BIND 9.11.37;
    • BIND 9.16.27;
    • BIND 9.18.1;
  • BIND Supported Preview Edition:
    • BIND 9.11.37-S1;
    • BIND 9.16.27-S1.
Detalle: 
  • Una vulnerabilidad se refiere a que el envío de patrones repetidos, de consultas específicas, a servidores con la característica RFC 8198 Aggressive Use de DNSSEC-Validated Cache (synth-from-dnssec) activada, podían permitir a un atacante causar un fallo INSIST en query.c:query_dname que hace que named se cierre inesperadamente. Se ha asignado el identificador CVE-2022-0635 para esta vulnerabilidad de severidad alta.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-25220 y CVE-2022-0396.

Encuesta valoración

[Actualización 17/03/2022] Bucle infinito en OpenSSL

Fecha de publicación: 
16/03/2022
Importancia: 
4 - Alta
Recursos afectados: 

OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:

  • clientes TLS que consumen certificados de servidor;
  • servidores TLS que consumen certificados de clientes;
  • proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
  • autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
  • cualquier otra cosa que analice parámetros de curva elíptica ASN.1.
Descripción: 

Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.

Solución: 
  • OpenSSL 1.0.2 debe actualizarse a la versión 1.0.2zd (sólo para clientes de soporte premium);
  • OpenSSL 1.1.1 debe actualizarse a la versión 1.1.1n;
  • OpenSSL 3.0 debe actualizarse a la versión 3.0.2.

OpenSSL 1.1.0 ya no dispone de soporte de actualizaciones, por lo que los usuarios deben actualizar a OpenSSL 3.0 o 1.1.1.

Detalle: 

La función BN_mod_sqrt(), que calcula una raíz cuadrada modular, contiene un error que podría provocar un bucle infinito para módulos no primos. Sería posible desencadenar el bucle infinito si se crea un certificado que tiene parámetros de curva explícitos no válidos. Se ha asignado el identificador CVE-2022-0778 para esta vulnerabilidad.

Encuesta valoración