Inicio / Content / Boletín de INCIBE-CERT del 27-05-2021

Boletín de INCIBE-CERT del 27-05-2021

Múltiples vulnerabilidades en Data Grid de Red Hat

Fecha de publicación: 
27/05/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Red Hat JBoss Data Grid Text-Only Advisories x86_64, versión 8.1.1.

Descripción: 

Red Hat ha publicado un aviso de seguridad con una vulnerabilidad de severidad crítica, 8 de severidad alta y 9 de severidad media.

Solución: 

Actualizar Red Hat Data Grid a la versión 8.2.0.

Detalle: 
  • Una vulnerabilidad de omisión de autenticación en los endpoints REST, al utilizar DIGEST como método de autenticación para Red Hat Data Grid e Infinispan, podría permitir a un atacante causar una condición de denegación de servicio del sistema o comprometer la confidencialidad e integridad de los datos. Se ha asignado el identificador CVE-2021-31917 para esta vulnerabilidad de severidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2020-26258, CVE-2021-21342, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21350 y CVE-2021-21351.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2020-10771, CVE-2020-26259, CVE-2021-21290, CVE-2021-21295, CVE-2021-21341, CVE-2021-21343, CVE-2021-21348, CVE-2021-21349 y CVE-2021-21409.

Encuesta valoración

[Actualización 27/05/2021] Vulnerabilidad de ejecución remota de código en HPE Systems Insight Manager (SIM)

Fecha de publicación: 
16/12/2020
Importancia: 
5 - Crítica
Recursos afectados: 

HPE Systems Insight Manager (SIM), versiones 7.6.x.

Descripción: 

El investigador, Harrison Neal, a través de Trend Micro Zero Day Initiative, ha informado a Hewlett Packard Enterprise de una vulnerabilidad que podría permitir la ejecución remota de código en HPE Systems Insight Manager (SIM).

Solución: 

HPE ha informado que publicara una futura versión que corrija esta vulnerabilidad y recomienda seguir los siguientes los pasos para eliminar las funciones "Federated Search" y "Federated CMS Configuration":

  1. Detener el servicio HPE SIM.
  2. Eliminar el archivo <C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war> de la ruta de instalación: del /Q /F C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war.
  3. Reiniciar el servicio HPE SIM.
  4. Esperar a que se pueda acceder a la página web de HPE SIM "https://SIM_IP:50000" y ejecutar el siguiente comando desde el símbolo del sistema: mxtool -r -f tools\multi-cms-search.xml 1>nul 2>nul.

[Actualización 27/05/2021] Aplicar Hotfix Update Kit for HPE Systems Insight Manager 7.6 (Apr 2021) desde el centro de descargas.

Detalle: 

Se ha identificado una vulnerabilidad en HPE Systems Insight Manager (SIM) versión 7.6. La vulnerabilidad podría aprovecharse para permitir la ejecución remota de código. Se ha asignado el identificador CVE-2020-7200 para esta vulnerabilidad.

Encuesta valoración