Inicio / Content / Boletín de INCIBE-CERT del 21-04-2021

Boletín de INCIBE-CERT del 21-04-2021

Actualizaciones críticas en Oracle (abril 2021)

Fecha de publicación: 
21/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Agile Product Lifecycle Management Integration Pack for Oracle E-Business Suite, versiones 3.5 y 3.6;
  • Agile Product Lifecycle Management Integration Pack for SAP: Design to Release, versiones 3.5 y 3.6;
  • Enterprise Manager Base Platform, versión 13.4.0.0;
  • Enterprise Manager for Fusion Middleware, versiones 12.2.1.4 y 13.4.0.0;
  • Enterprise Manager for Virtualization, versión 13.4.0.0;
  • Enterprise Manager Ops Center, versión 12.4.0.0;
  • FMW Platform, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Hyperion Analytic Provider Services, versiones 11.1.2.4 y 12.2.1.4;
  • Hyperion Financial Management, versión 11.1.2.4;
  • Instantis EnterpriseTrack, versiones 17.1, 17.2 y 17.3;
  • JD Edwards EnterpriseOne Orchestrator, todas las versiones anteriores a la 9.2.5.3;
  • JD Edwards EnterpriseOne Tools, todas las versiones anteriores a la 9.2.4.0 y 9.2.5.3;
  • JD Edwards World Security, versión A9.4;
  • MySQL Cluster, versión 8.0.23 y anteriores;
  • MySQL Enterprise Monitor, versión 8.0.23 y anteriores;
  • MySQL Server, versión 5.7.33 y anteriores, y versión 8.0.23 y anteriores;
  • MySQL Workbench, versión 8.0.23 y anteriores;
  • Oracle Advanced Supply Chain Planning, versiones 12.1 y 12.2;
  • Oracle Agile PLM, versiones 9.3.3, 9.3.5 y 9.3.6;
  • Oracle API Gateway, versión 11.1.2.4.0;
  • Oracle Application Express, todas las versiones anteriores a la 20.2;
  • Oracle Application Testing Suite, versión 13.3.01;
  • Oracle BAM, versiones 11.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Banking Platform, versiones 2.4.0, 2.6.2, 2.7.0, 2.7.1, 2.8.0, 2.9.0 y 2.10.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Cloud Infrastructure Storage Gateway, todas las versiones anteriores a la 1.4;
  • Oracle Coherence, versiones 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
  • Oracle Commerce Guided Search, versiones 11.3.0, 11.3.1 y 11.3.2;
  • Oracle Commerce Merchandising, versiones 0, 11.0.0, 11.1, 11.2.0, 11.3.0, 11.3.1 y 11.3.2;
  • Oracle Communications Application Session Controller, versión 3.9m0p3;
  • Oracle Communications Calendar Server, versión 8.0;
  • Oracle Communications Contacts Server, versión 8.0;
  • Oracle Communications Converged Application Server – Service Controller, versión 6.2;
  • Oracle Communications Design Studio, versión 7.4.2;
  • Oracle Communications Interactive Session Recorder, versiones 6.3 y 6.4;
  • Oracle Communications Messaging Server, versiones 8.0.2, 8.1 y 8.1.0;
  • Oracle Communications MetaSolv Solution, versiones 6.3.0 y 6.3.1;
  • Oracle Communications Performance Intelligence Center Software, versiones 10.4.0.2 y 10.4.0.3;
  • Oracle Communications Services Gatekeeper, versiones 6.0, 6.1 y 7.0;
  • Oracle Communications Session Border Controller, versiones Cz8.2, Cz8.3 y Cz8.4;
  • Oracle Communications Session Router, versiones Cz8.2, Cz8.3 y Cz8.4;
  • Oracle Communications Subscriber-Aware Load Balancer, versiones Cz8.2, Cz8.3 y Cz8.4;
  • Oracle Communications Unified Inventory Management, versiones 7.3.4, 7.3.5, 7.4.0 y 7.4.1;
  • Oracle Communications Unified Session Manager, versión SCz8.2.5;
  • Oracle Database Server, versiones 12.1.0.2, 12.2.0.1, 18c y 19c;
  • Oracle E-Business Suite, versiones de la 12.1.1 a la 12.1.3 y de la 12.2.3 a la 12.2.10;
  • Oracle Endeca Information Discovery Studio, versión 3.2.0.0;
  • Oracle Enterprise Communications Broker, versiones PCZ3.1, PCZ3.2 y PCZ3.3;
  • Oracle Enterprise Repository, versión 11.1.1.7.0;
  • Oracle Enterprise Session Border Controller, versiones Cz8.2, Cz8.3 y Cz8.4;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones de la 8.0.6 a la 8.1.0;
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.2 y 12.0.3;
  • Oracle FLEXCUBE Private Banking, versiones 12.0.0 y 12.1.0;
  • Oracle Fusion Middleware, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0;
  • Oracle Global Lifecycle Management OPatch, todas las versiones anteriores a la 12.2.0.1.22;
  • Oracle GraalVM Enterprise Edition, versiones 19.3.5, 20.3.1.2 y 21.0.0.2;
  • Oracle Graph Server and Client;
  • Oracle Health Sciences Empirica Signal, versiones 9.0 y 9.1;
  • Oracle Health Sciences Information Manager, versiones de la 3.0.0 a la 3.0.2;
  • Oracle Healthcare Foundation, versiones 7.1.5, 7.2.2, 7.3.0, 7.3.1 y 8.0.1;
  • Oracle Hospitality Cruise Shipboard Property Management System, versión 20.1.0;
  • Oracle Hospitality Inventory Management, versión 9.1.0;
  • Oracle Hospitality OPERA 5, versiones 5.5 y 5.6;
  • Oracle Hospitality RES 3700, versiones de la 5.7.0 a la 5.7.6;
  • Oracle HTTP Server, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Identity Manager Connector, versión 11.1.1.5.0;
  • Oracle iLearning, versiones 6.2 y 6.3;
  • Oracle Insurance Data Gateway, versión 1.0.2.3;
  • Oracle Java SE, versiones 7u291, 8u281, 11.0.10 y 16;
  • Oracle Java SE Embedded, versión 8u281;
  • Oracle NoSQL Database, todas las versiones anteriores a la 20.3;
  • Oracle Outside In Technology, versión 8.5.5;
  • Oracle Platform Security for Java, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Rapid Planning, versión 12.1.3;
  • Oracle REST Data Services, todas las versiones anteriores a la 20.4.3.50.1904;
  • Oracle Retail Advanced Inventory Planning, versión 14.1;
  • Oracle Retail Assortment Planning, versión 16.0.3;
  • Oracle Retail Back Office, versión 14.1;
  • Oracle Retail Category Management Planning & Optimization, versión 16.0.3;
  • Oracle Retail Central Office, versión 14.1;
  • Oracle Retail EFTLink, versiones 15.0.2, 16.0.3, 17.0.2, 18.0.1, 19.0.1 y 20.0.0;
  • Oracle Retail Insights Cloud Service Suite, versión 19.0;
  • Oracle Retail Item Planning, versión 16.0.3;
  • Oracle Retail Macro Space Optimization, versión 16.0.3;
  • Oracle Retail Merchandise Financial Planning, versión 16.0.3;
  • Oracle Retail Merchandising System, versión 16.0.3;
  • Oracle Retail Point-of-Service, versión 14.1;
  • Oracle Retail Predictive Application Server, versiones 14.1, 15.0 y 16.0;
  • Oracle Retail Regular Price Optimization, versión 16.0.3;
  • Oracle Retail Replenishment Optimization, versión 16.0.3;
  • Oracle Retail Returns Management, versión 14.1;
  • Oracle Retail Sales Audit, versión 14.0;
  • Oracle Retail Size Profile Optimization, versión 16.0.3;
  • Oracle Retail Store Inventory Management, versiones 14.1.3.10, 15.0.3.5 y 16.0.3.5;
  • Oracle Retail Xstore Point of Service, versiones 15.0.4, 16.0.6, 17.0.4, 18.0.3 y 19.0.2;
  • Oracle SD-WAN Aware, versión 8.2;
  • Oracle SD-WAN Edge, versiones 8.2 y 9.0;
  • Oracle Secure Backup;
  • Oracle Secure Global Desktop, versión 5.6;
  • Oracle Security Service, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Service Bus, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Solaris, versiones 10 y 11;
  • Oracle Spatial Studio, todas las versiones anteriores a la 19.1.0 y 20.1.1;
  • Oracle SQL Developer, todas las versiones anteriores a la 20.4.1.407.6    ;
  • Oracle Storage Cloud Software Appliance, todas las versiones anteriores a la 16.3.1.4.2;
  • Oracle TimesTen In-Memory Database;
  • Oracle Utilities Framework, versiones 4.2.0.2.0, 4.2.0.3.0, de la 4.3.0.1.0 a la 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0 y 4.4.0.3.0;
  • Oracle VM VirtualBox, todas las versiones anteriores a la 6.1.20;
  • Oracle WebCenter Portal, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
  • Oracle WebLogic Server Proxy Plug-In, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle ZFS Storage Appliance Kit, versión 8.8;
  • OSS Support Tools, todas las versiones anteriores a la 2.12.41;
  • PeopleSoft Enterprise CS Campus Community, versión 9.2    ;
  • PeopleSoft Enterprise FIN Common Application Objects, versión 9.2;
  • PeopleSoft Enterprise FIN Expenses, versión 9.2;
  • PeopleSoft Enterprise PeopleTools, versiones 8.56, 8.57 y 8.58;
  • PeopleSoft Enterprise PT PeopleTools, versiones 8.56, 8.57 y 8.58;
  • PeopleSoft Enterprise SCM eProcurement, versión 9.2;
  • PeopleSoft Enterprise SCM Purchasing, versión 9.2;
  • Primavera Gateway, versiones de la 17.12.0 a la 17.12.10;
  • Primavera Unifier, versiones 16.1, 16.2, de la 17.7 a la 17.12, 18.8, 19.12 y 20.12;
  • Siebel Applications, versión 21.2 y anteriores.
Descripción: 

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.

Solución: 

Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Detalle: 

Esta actualización resuelve un total de 390 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de ‘Referencias’.

Encuesta valoración

Múltiples vulnerabilidades en ClearPass de Aruba

Fecha de publicación: 
21/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • ClearPass 6.9.x, todas las versiones anteriores a la 6.9.5;
  • ClearPass 6.8.x, todas las versiones anteriores a la 6.8.9;
  • ClearPass 6.7.x, todas las versiones anteriores a la 6.7.14 y 6.7.14-HF1.
Descripción: 

Varios investigadores han notificado 10 vulnerabilidades, 1 de severidad crítica y 9 de severidad alta, que podrían permitir a un atacante remoto y no autenticado ejecutar código arbitrario, causar un estado de denegación de servicio, acceder a información confidencial o robo de credenciales respectivamente.

Solución: 

Actualizar:

  • ClearPass 6.9.x a la versión 6.9.5 u otra superior;
  • ClearPass 6.8.x a la versión 6.8.9 u otra superior;
  • ClearPass 6.7.x a la versión 6.7.14 y 6.7.14-HF1 u otra superior respectivamente.
Detalle: 

Una vulnerabilidad de tipo SSRF (Server Side Request Forgery) en la interfaz web de administración de ClearPass podría permitir a un atacante remoto y no autenticado ejecutar código arbitrario en el host de ClearPass. Se ha asignado el identificador CVE-2021-29145 para esta vulnerabilidad de severidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores CVE-2021-29139, CVE-2021-29142, CVE-2021-29146, CVE-2021-29140, CVE-2020-7123, CVE-2021-29138, CVE-2020-29147, CVE-2021-29141 y CVE-2021-29144.

Encuesta valoración

Vulnerabilidad XSS en TIBCO Administrator

Fecha de publicación: 
21/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones 5.11.0, 5.11.1, 5.10.2 y anteriores de los productos:

  • TIBCO Administrator - Enterprise Edition;
  • TIBCO Administrator - Enterprise Edition Distribution para TIBCO Silver Fabric;
  • TIBCO Administrator - Enterprise Edition para z/Linux;
  • TIBCO Runtime Agent;
  • TIBCO Runtime Agent para z/Linux;

El componente administration GUI.

Descripción: 

TIBCO ha notificado una vulnerabilidad crítica, de tipo XSS almacenado, cuya explotación podría permitir que un atacante obtuviese acceso administrativo completo al sistema afectado.

Solución: 

Actualizar los productos afectados a las versiones 5.10.3, 5.11.2 o superiores, según corresponda a la versión afectada.

Detalle: 

En los sistemas basados en Unix, existe una vulnerabilidad que podría permitir a un atacante, no autentificado, realizar ingeniería social a un usuario legítimo con acceso a la red para ejecutar un ataque, de tipo XSS almacenado, dirigido al sistema afectado. Se ha asignado el identificador CVE-2021-28827 para esta vulnerabilidad.

Encuesta valoración

[Actualización 04/05/2021] Ejecución remota de código en Pulse Connect Secure

Fecha de publicación: 
21/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Pulse Connect Secure, versión 9.0R3 y superior.

Descripción: 

Se ha descubierto una vulnerabilidad en Pulse Connect Secure (PCS) que podría permitir a un atacante, no autenticado, la ejecución remota de archivos arbitrarios en la puerta de enlace de Pulse Connect Secure. Esta vulnerabilidad supone un riesgo importante y está siendo explotada de forma activa.

Solución: 

Actualizar a Pulse Connect Secure, versión 9.1R.11.4 cuando esté disponible.

Mientras tanto, Pulse Secure recomienda importar el archivo Workaround-2104.xml, para desactivar los dos conjuntos de características afectadas en las instancias existentes de PCS: Windows File Share Browser y Pulse Secure Collaboration.

[Actualización 04/05/2021] Pulse Secure ha publicado la versión 9.1R.11.4 que corrige estas vulnerabilidades y que esta disponible en el centro de descargas de Pulse Secure.

Detalle: 

Una vulnerabilidad expuesta por las funciones de Windows File Share Browser y Pulse Secure Collaboration de Pulse Connect Secure podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en un sistema de puerta de enlace vulnerable de Pulse Connect Secure. Se ha asignado el identificador CVE-2021-22893 para esta vulnerabilidad.

[Actualización 03/05/2021] CISA ha actualizado la alerta AA21-110A, añadiendo la sección 'Detection' que proporciona información sobre Impossible Travel (es posible que un defensor de la red pueda revelar conexiones ilegítimas de usuarios que se hacen pasar por usuarios legítimos de diferentes geolocalizaciones) y TLS Fingerprinting (CISA ha observado la reutilización de varios hashes JA3, incluyendo algunos alineados con Chrome, Firefox y otros, y recomienda precaución al utilizar la huella digital TLS porque la mayoría de los hashes JA3 observados en relación con la explotación de Pulse Connect Secure no eran exclusivos de la actividad maliciosa), que puede ser útil para identificar la actividad maliciosa.

[Actualización 04/05/2021] Pulse Secure ha informado de 3 nuevas vulnerabilidades que también afectan a Pulse Connect Secure, permitiendo a usuarios autenticados de forma remota ejecutar código arbitrario o que un administrador autenticado realice una escritura de archivo con fines malintencionados en la interfaz web. Se han asignado los siguientes identificadores para esas vulnerabilidades: CVE-2021-22894, CVE-2021-22899 y CVE-2021-22900.

Encuesta valoración

Ejecución remota de código en el servicio overlayd de productos Juniper

Fecha de publicación: 
21/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Juniper Networks Junos OS, versiones:
    • 15.1, anteriores a 15.1R7-S9;
    • 17.3, anteriores a 17.3R3-S11;
    • 17.4, anteriores a 17.4R2-S13 y 17.4R3-S4;
    • 18.1, anteriores a 18.1R3-S12;
    • 18.2, anteriores a 18.2R2-S8 y 18.2R3-S7;
    • 18.3, anteriores a 18.3R3-S4;
    • 18.4, anteriores a 18.4R1-S8, 18.4R2-S7 y 18.4R3-S7;
    • 19.1, anteriores a 19.1R2-S2 y 19.1R3-S4;
    • 19.2, anteriores a 19.2R1-S6 y 19.2R3-S2;
    • 19.3, anteriores a 19.3R3-S1;
    • 19.4, anteriores a 19.4R2-S4 y 19.4R3-S1;
    • 20.1, anteriores a 20.1R2-S1 y 20.1R3;
    • 20.2, anteriores a 20.2R2, 20.2R2-S1 y 20.2R3;
    • 20.3, anteriores a 20.3R1-S1.
Descripción: 

Se ha publicado una vulnerabilidad de validación incorrecta del tamaño del búfer en el servicio overlayd que podría permitir a un atacante la denegación del servicio o la ejecución remota de código.

Solución: 
  • Actualizar a las versiones:
    • 15.1R7-S9;
    • 17.3R3-S11;
    • 17.4R2-S13 y 17.4R3-S4;
    • 18.1R3-S12;
    • 18.2R2-S8 y 18.2R3-S7;
    • 18.3R3-S4;
    • 18.4R1-S8, 18.4R2-S7 y 18.4R3-S7;
    • 19.1R2-S2 y 19.1R3-S4;
    • 19.2R1-S6 y 19.2R3-S2;
    • 19.3R3-S1;
    • 19.4R2-S4 y 19.4R3-S1;
    • 20.1R2-S1 y 20.1R3;
    • 20.2R2, 20.2R2-S1 y 20.2R3;
    • 20.3R1-S1.
Detalle: 

Una validación incorrecta del tamaño del búfer en el servicio overlayd, de Juniper Networks Junos OS, podría permitir a un atacante remoto, no autenticado, enviar paquetes especialmente diseñados al dispositivo, desencadenando una condición de denegación de servicio (DoS) parcial o conducir a la ejecución remota de código. Se ha asignado el identificador CVE-2021-0254 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades 0day en SonicWall Email Security

Fecha de publicación: 
21/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Email Security (ES), versiones 10.0.1, 10.0.2, 10.0.3 y 10.0.4 hasta la actual;
  • Hosted Email Security (HES), versiones 10.0.1, 10.0.2, 10.0.3 y 10.0.4 hasta la actual.

Las versiones 7.0.0-9.2.2 de SonicWall Email Security también se ven afectadas por estas vulnerabilidades. Sin embargo, estas versiones han llegado al final de su vida útil (EOL) y ya no reciben soporte.

Descripción: 

FireEye Mandiant Managed Defense ha detectado 3 vulnerabilidades 0day, 1 con severidad crítica y las 2 restantes medias, en SonicWall Email Security (ES) que están siendo explotadas de manera activa para para obtener acceso administrativo y realizar ejecución de código, por lo que es imperativo que las organizaciones que utilizan dispositivos de hardware, dispositivos virtuales o instalaciones de software de SonicWall Email Security en Microsoft Windows Server actualicen inmediatamente a la respectiva versión que las corrige.

Solución: 

Actualizar a:

  • Email Security 10.0.9.6173 (Windows);
  • Email Security 10.0.9.6177 (Hardware y ESXi Virtual Appliance);
  • Hosted Email Security 10.0.9.6173 (parcheado automáticamente).
Detalle: 
  • La aplicación SonicWall Email Security contiene un panel de control de autenticación para proporcionar capacidades de administración. Debido a esta vulnerabilidad, un atacante con un documento XML, especialmente diseñado, podría realizar peticiones HTTP a la aplicación y crear una cuenta role.ouadmin que podría ser utilizada para autenticarse en la aplicación como administrador. Se ha asignado el identificador CVE-2021-20021 para esta vulnerabilidad crítica.
  • La falta de validación en los archivos ZIP subidos a la interfaz web del usuario podría permitir a un atacante subir archivos maliciosos con código ejecutable y webshells en ubicaciones arbitrarias. Se ha asignado el identificador CVE-2021-20022 para esta vulnerabilidad.
  • Una vulnerabilidad en la autenticación en el branding integrado en el panel administrativo podría permitir a un atacante recuperar archivos arbitrarios del host enviando peticiones HTTP, especialmente diseñadas, a un recurso concreto. Se ha asignado el identificador CVE-2021-20023 para esta vulnerabilidad.

Encuesta valoración