Inicio / Content / Boletín de INCIBE-CERT del 25-09-2019

Boletín de INCIBE-CERT del 25-09-2019

Actualización de seguridad de Joomla! 3.9.12

Fecha de publicación: 
25/09/2019
Importancia: 
2 - Baja
Recursos afectados: 

Joomla! CMS, versiones desde la 3.0.0 hasta la 3.9.11.

Descripción: 

Joomla! ha publicado una nueva versión que soluciona una vulnerabilidad, de criticidad baja, en su núcleo de tipo cross-site scripting (XSS).

Solución: 

Actualizar a la versión 3.9.12.

Detalle: 

La vulnerabilidad en el parámetro logo en las plantillas por defecto permitía un escapado inadecuado de código, pudiendo generar un XSS. Se ha asignado el identificador CVE-2019-16725 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad en REST framework de múltiples productos de F5

Fecha de publicación: 
25/09/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator), versiones:
    • 15.0.0,
    • 14.0.0 - 14.1.0,
    • 13.1.0 - 13.1.1,
    • 12.1.0 - 12.1.4,
    • 11.5.2 - 11.6.4.
  • Enterprise Manager, versión 3.1.1.
  • BIG-IQ Centralized Management, versiones:
    • 7.0.0,
    • 6.0.0 - 6.1.0,
    • 5.2.0 - 5.4.0.
  • F5 iWorkflow, versión 2.3.0.
Descripción: 

El equipo Enter of the Tarantula, perteneciente a VINCSS, una empresa subsidiaria del grupo Vingroup, en coordinación con F5, ha detectado una vulnerabilidad de criticidad alta en el componente REST framework. Un atacante podría comprometer el sistema.

Solución: 

Actualizar a las siguientes versiones:

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator):
    • 15.0.1,
    • 14.1.2,
    • 14.0.1,
    • 13.1.3,
    • 12.1.5,
    • 11.6.5.

En este momento no hay actualizaciones disponibles para el resto de productos afectados, como medidas de mitigación. Desde F5 recomiendan el uso de redes seguras y permitir el acceso únicamente a usuarios de confianza en los sistemas afectados.

Detalle: 

La vulnerabilidad se debe a respuestas HTTP inconsistentes en el inicio de sesión, cuando se procesan peticiones modificadas. Un atacante podría enviar peticiones maliciosas para explotar vulnerabilidades en el sistema. Se ha reservado el identificador CVE-2019-6651 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad de ejecución remota en e2fsprogs

Fecha de publicación: 
25/09/2019
Importancia: 
4 - Alta
Recursos afectados: 

E2fsprogs, versiones anteriores a 1.45.4.

Descripción: 

La investigadora Lilith, de Cisco Talos, ha descubierto una vulnerabilidad de tipo ejecución de código, con severidad alta, en e2fsprogs, un paquete de utilidades para el mantenimiento de sistemas de ficheros ext2, ext3 y ext4.

Solución: 

Actualizar e2fsprogs a la versión 1.45.4.

Detalle: 

Un sistema de particiones ext4, específicamente generado, podría causar una escritura fuera de límites en la memoria dinámica (heap) en la funcionalidad quota utilizada por e2fsck. Un atacante podría ejecutar código arbitrario en el sistema. Se ha asignado el identificador CVE-2019-5094 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos VMware

Fecha de publicación: 
25/09/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • VMware Cloud Foundation.
  • VMware Harbor Container Registry para PCF, versiones 18.x y 17.x.
Descripción: 

Se ha reportado una vulnerabilidad de tipo escalada de privilegios, con severidad crítica, que afecta a múltiples productos de VMware.

Solución: 
  • En VMware Harbor Container Registry para PCF:
    • versiones 18.x, actualizar a la versión 1.8.3.
    • versiones 17.x, actualizar a la versión 1.7.6.
  • VMware Cloud Foundation está afectado si el componente opcional Harbor Registry ha sido implementado, actualmente no actualización disponible.
Detalle: 

La vulnerabilidad se encuentra en el método POST /api/users de la API de Harbor. Un atacante remoto podría realizar una escalada de privilegios. Se ha asignado el identificado CVE-2019-16097 para esta vulnerabilidad.

Encuesta valoración