Boletín de vulnerabilidades

En Wireshark 2.4.0 a 2.4.13, 2.6.0 a 2.6.7, y 3.0.0, el disector DCERPC SPOOLSS podría cerrarse inesperadamente. Esto fue tratado en epan/disectores/packet-dcerpc-spoolss.c añadiendo una comprobación de límites.

En Wireshark 3.0.0, el disector TSDNS podría cerrarse de forma inesperada. Esto fue tratado en epan/disectors/packet-tsdns.c dividiendo las cadenas de forma segura.

En Wireshark 2.4.0 a 2.4.13, 2.6.0 a 2.6.7 y 3.0.0, el disector LDSS podría cerrarse de forma inesperada. Esto fue tratado en epan/disectores/packet-ldsss.c mediante el manejo adecuado de los archivos de digest.

En Wireshark 3.0.0, el disector Rbm podía entrar en un bucle infinito. Esto fue tratado en epan/disectors/file-rbm.c manejando tipos de objetos desconocidos de forma segura.

En Wireshark 2.4.0 a 2.4.13, 2.6.0 a 2.6.7 y 3.0.0, el disector SRVLOC podría fallar. Esto se abordó en epan/disectors/packet-srvloc.c evitando una lectura insuficiente del búfer basado en pilas.

En Wireshark 3.0.0, el disector GSUP podía entrar en un bucle infinito. Esto fue tratado en epan/disectors/packet-gsm_gsup.c rechazando una longitud inválida del Elemento de Información.

En Wireshark 3.0.0, el disector IEEE 802.11 podía entrar en un bucle infinito. Esto se abordó en epan/disectores/packet-ieee80211.c mediante la detección de casos en los que el desplazamiento de bits no avanza.

Una vulnerabilidad en la funcionalidad de análisis de archivos Object Linking & Embedding (OLE2) de las versiones 0.101.1 y anteriores del software Clam AntiVirus (ClamAV) podría permitir que un atacante remoto no autenticado cause una condición de denegación de servicio en un dispositivo afectado. La vulnerabilidad se debe a la falta de mecanismos adecuados de comprobación de entrada y validación de los archivos OLE2 enviados a un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando archivos OLE2 malformados al dispositivo que ejecuta una versión afectada de ClamAV Software. Un exploit podría permitir al atacante causar una condición de escritura fuera de límites, resultando en un fallo que podría generar una condición de denegación de servicio en un dispositivo afectado.

Una vulnerabilidad en la funcionalidad de escaneo del PDF (Portable Document Format) en las versiones de software 0.101.1 y anteriores de Clam AntiVirus (ClamAV), podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad se debe a la falta de mecanismos adecuados para el manejo de datos dentro del búfer del dispositivo, mientras se indexan los datos de archivo restantes en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando archivos PDF creados a un dispositivo afectado. Una explotación exitosa podría permitir al atacante causar una condición de lectura de búfer fuera de límites, resultando en un cierre inesperado que podría causar una condición de denegación de servicio en un dispositivo afectado.

Hay una posible vulnerabilidad de denegación de servicio (DoS) en la vista de acción en Rails, en versiones anteriores a las 5.2.2.1, 5.1.6.2, 5.0.7.2 y 4.2.11.1 donde las cabeceras de aceptación especialmente manipuladas pueden provocar que dicha vista consuma el 100 % de la CPU y haga que el servidor deje de responder.

Existe una vulnerabilidad de Divulgación del contenido del archivo en la Vista de acción versión anterior a .2.2.1, versión anterior a 1.6.2, versión anterior a 5.0.7.2, versión anterior a 4.2.11.1 y v3, donde los encabezados de aceptación especialmente diseñados pueden exponer el contenido de archivos arbitrarios en el sistema de archivos del sistema de destino. .

** EN DISPUTA ** Se ha detectado un fallo en PHP, en las versiones 7.x anteriores a la 7.1.27 y en las 7.3.x anteriores a la 7.3.3. phar_tar_writeheaders_int tiene un desbordamiento de búfer mediante un valor de enlace largo. NOTA: el fabricante indica que el valor de enlace se utiliza solamente cuando un archivo contiene un symlink, algo que actualmente no puede ocurrir: "Este fallo facilita el compromiso teórico de la seguridad. Sin embargo, un ataque práctico es normalmente imposible."

Se ha detectado un fallo en el componente EXIF en PHP, en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Hay una lectura no inicializada en exif_process_IFD_in_TIFF.

Se ha detectado un fallo en PHP en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Debido a la manera en la que "rename()" se implementa en los sistemas de archivos es posible que el archivo que se está renombrado esté brevemente disponible con los permisos incorrectos mientras que dicho proceso siga en curso, habilitando el acceso a los datos a usuarios no autenticados.

Se ha detectado un fallo en el componente EXIF en PHP, en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Hay una lectura no inicializada en exif_process_IFD_in_MAKERNOTE debido a la mala gestión de maker_note->offset relationship en value_len.

Se ha detectado un fallo en el componente EXIF en PHP, en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Hay una lectura no inicializada en exif_process_IFD_in_MAKERNOTE debido a la mala gestión de la variable data_len.

Se ha detectado un fallo en el componente EXIF en PHP, en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Hay una lectura inválida en exif_process_SOFn.

En el kernel de Linux, en versiones anteriores a la 4.20.14, expand_downwards en mm/mmap.c carece de una comprobación para la dirección mínima de mmap, lo que facilita que los atacantes exploten desreferencias de puntero NULL en el kernel en plataformas que no son SMAP. Esto esto está relacionado con una comprobación de capacidades para la tarea equivocada.

Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.40, versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.1. xmlrpc_decode() puede permitir que un servidor XMLRPC hostil provoque que la memoria PHP lea memoria más allá de las áreas asignadas en base64_decode_xmlrpc en ext/xmlrpc/libxmlrpc/base64.c.

Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.40, versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.1. Existen instancias de sobrelectura de búfer basada en memoria dinámica (heap) en las funciones de expresión regular mbstring cuando se les proporcionan datos multibyte inválidos. Estas ocurren en ext/mbstring/oniguruma/regcomp.c, ext/mbstring/oniguruma/regexec.c, ext/mbstring/oniguruma/regparse.c, ext/mbstring/oniguruma/enc/unicode.c y ext/mbstring/oniguruma/src/utf32_be.c cuando un patrón de expresión regular multibyte contiene secuencias multibyte inválidas.

Se ha descubierto un problema en PHP, en versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.2. dns_get_record analiza erróneamente una respuesta DNS, lo que podría permitir que un servidor DNS hostil provoque que PHP emplee memcpy de forma incorrecta, lo que conduce a que las operaciones de lectura sobrepasen el búfer asignado para los datos DNS. Esto afecta a php_parserr en ext/standard/dns.c para las consultas DNS_CAA y DNS_ANY.

Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.40, versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.1. Una sobrelectura de búfer basada en memoria dinámica (heap) en las funciones de lectura PHAR en la extensión PHAR podría permitir que un atacante lea memoria asignada o no asignada más allá de los datos reales al intentar analizar el nombre de archivo. Esta vulnerabilidad es diferente de CVE-2018-20783. Esto está relacionado con phar_detect_phar_fname_ext en ext/phar/phar.c.

Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.40, versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.1. Las entradas inválidas en la función xmlrpc_decode() pueden conducir a un acceso inválido a la memoria (lectura de memoria dinámica o heap fuera de límites o lectura de memoria previamente liberada). Esto está relacionado con xml_elem_parse_buf en ext/xmlrpc/libxmlrpc/xml_element.c.

En PHP, en versiones anteriores a la 5.6.39, en las versiones 7.x anteriores a la 7.1.25 y en las 7.2.x anteriores a la 7.2.13, una sobrelectura de búfer en las funciones de lectura PHAR podría permitir a un atacante leer la memoria, ya sea asignada o no, posterior a los datos actuales durante el análisis de un archivo .phar. Esto está relacionado con phar_parse_pharfile en ext/phar/phar.c.

En el kernel de Linux en versiones anteriores a la 4.20.8, kvm_ioctl_create_device en virt/kvm/kvm_main.c gestiona de manera incorrecta el conteo de referencias debido a una condición de carrera, lo que conduce a un uso de memoria previamente liberada.

Se ha descubierto una desreferencia de dirección inválida en TIFFWriteDirectoryTagTransferfunction en libtiff/tif_dirwrite.c en LibTIFF 4.0.10, que afecta a la función cpSeparateBufToContigBuf en tiffcp.c. Los atacantes remotos podrían aprovechar esta vulnerabilidad para provocar una denegación de servicio (DoS) mediante un archivo tiff manipulado. Esta vulnerabilidad es diferente de CVE-2018-12900.

En la biblioteca GNU C Library (también conocida como glibc o libc6) hasta la versión 2.28, la función getaddrinfo analiza exitosamente una cadena que contiene una dirección IPv4 seguida por un espacio en blanco y caracteres arbitrarios. Esto podría provocar que las aplicaciones asuman incorrectamente que han analizado una cadena válida, sin contemplar la posibilidad de que haya cabeceras HTTP embebidas u otras subcadenas potencialmente maliciosas.

etcd, en sus versiones 3.2.x anteriores a la 3.2.26 y versiones 3.3.x anteriores a la 3.3.11, es vulnerable a una autorización incorrecta cuando se emplea un control de acceso basado en roles (RBAC) y client-cert-auth se encuentra habilitado. Si un certificado TLS del servidor etcd del cliente contiene un "Common Name" (CN) que coincide con un nombre de usuario RBAC válido, un atacante remoto podría autenticarse como dicho usuario con cualquier certificado (confiable) del cliente en una petición REST API en gRPC-gateway.

En Django, en versiones 1.11.x anteriores a la 1.11.18, versiones 2.0.x anteriores a la 2.0.10 y 2.1.x anteriores a la 2.1.5, existe una neutralización incorrecta de elementos especiales en las salidas empleadas por un componente de bajada en django.views.defaults.page_not_found(), lo que conduce a la suplantación de contenido (en una página de error 404) si un usuario fracasa a la hora de reconocer que una URL manipulada tiene contenido malicioso.

Se ha descubierto un problema en BusyBox hasta la versión 1.30.0. Una lectura fuera de límites en los componentes udhcp (consumidos por el cliente, el servidor y/o el relé DHCP) podría permitir a un atacante remoto filtrar información sensible de la pila enviando un mensaje DHCP manipulado. Esto está relacionado con el aseguramiento de una longitud de 4 bytes al decodificar DHCP_SUBNET. NOTA: este problema existe debido a una corrección incompleta de CVE-2018-20679

La librería de cliente Java de Apache Thrift, desde la versión 0.5.0 hasta la 0.11.0, puede omitir la validación de la negociación de SASL "isComplete" en la clase org.apache.thrift.transport.TSaslTransport. Una aserción utilizada para determinar si el handshake SASL se ha completado de manera exitosa podría deshabilitarse en los ajustes de producción, prohibiendo que la validación se complete.

Se ha detectado un uso de memoria previamente liberada en la manera en la que el hypervisor KVM del kernel de Linux procesa las interrupciones publicadas cuando la virtualización "nested(=1)" se encuentra habilitada. En caso de que se produzca un error durante el procesamiento de las direcciones de las interrupciones publicadas, nested_get_vmcs12_pages() desmapea "pi_desc_page" sin restablecer la dirección del descriptor "pi_desc", la cual se utiliza posteriormente en pi_test_and_clear_on(). Un usuario invitado/proceso podría aprovechar este fallo para forzar un cierre inesperado en el kernel del host, lo que resultaría en DoS o en el acceso privilegiado a un sistema. Las versiones del kernel anteriores a la 4.14.91 y la 4.19.13 son vulnerables.

Las versiones 2.x de FasterXML jackson-databind anteriores a la 2.9.7 podrían permitir a los atacantes remotos realizar ataques de SSRF (Server-Side Request Forgery) aprovechando un fallo para bloquear la clase axis2-ext de deserialización polimórfica.

Las versiones 2.x de FasterXML jackson-databind anteriores a la 2.9.7 podrían permitir a los atacantes realizar ataques de tipo XML External Entity Injection (XXE) aprovechando su incapacidad de bloquear clases JDK no especificadas de deserialización polimórfica.

Las versiones 2.x de FasterXML jackson-databind anteriores a la 2.9.7 podrían permitir a los atacantes remotos ejecutar código arbitrario aprovechando un fallo para bloquear las clases blaze-ds-opt y blaze-ds-core de deserialización polimórfica.

Las versiones 2.x de FasterXML jackson-databind anteriores a la 2.9.7 podrían permitir a los atacantes remotos ejecutar código arbitrario aprovechando un fallo para bloquear la clase slf4j-ext de deserialización polimórfica.

aria2c en la versión 1.33.1 de aria2, cuando se utiliza --log, puede almacenar un nombre de usuario y contraseña de HTTP Basic Authentication en un archivo, lo que podría permitir a usuarios locales obtener información sensible al leer dicho archivo.

La implementación de userfaultfd en el kernel de Linux en versiones anteriores a la 4.17 gestiona de manera incorrecta para ciertas llamadas ioctl UFFDIO_, tal y como queda demostrado al permitir que usuarios locales escriban datos en huecos en un archivo tmpfs (si el usuario tiene acceso de solo lectura a dicho archivo que contiene huecos). Esto está relacionado con fs/userfaultfd.c y mm/userfaultfd.c.

Un uso de memoria previamente liberada en el inicio de sesión remoto (deshabilitado por defecto) en McAfee Agent (MA), en las versiones 5.x anteriores a la 5.60, permite a los atacantes remotos no autenticados provocar una denegación de servicio (DoS) y, potencialmente, una ejecución remota de código mediante una cabecera HTTP especialmente manipulada enviada al servicio de inicio de sesión

Un atacante puede explotar phpMyAdmin en versiones anteriores a la 4.8.4 para filtrar el contenido de un archivo local debido a un error en la característica de transformación. El atacante debe tener acceso a las tablas de configuración "Configuration Storage" de phpMyAdmin, aunque pueden crearse fácilmente en cualquier base de datos a la que tenga acceso. Un atacante debe tener credenciales válidas para iniciar sesión en phpMyAdmin; la vulnerabilidad no permite que un atacante omita el sistema de inicio de sesión.

Desde la versión 3.2 del kernel de Linux, la syscall mremap() realiza vaciados TLB tras soltar bloqueos de tabla de página. Si una syscall como ftruncate() elimina las entradas de las tablas de página de una tarea en medio de mremap(), una entrada TLB obsoleta puede permanecer por poco tiempo, lo que permite el acceso a una página física una vez se ha devuelto al asignador de páginas y se reutiliza. Esto se ha solucionado en las siguientes versiones del kernel: 4.9.135, 4.14.78, 4.18.16 y 4.19.

Se ha demostrado que el algoritmo de firmas DSA en OpenSSL es vulnerable a un ataque de sincronización de canal lateral. Un atacante podría emplear variaciones en el algoritmo de firma para recuperar la clave privada. Se ha solucionado en OpenSSL 1.1.1a (afecta a 1.1.1). Se ha solucionado en OpenSSL 1.1.0j (afecta a 1.1.0-1.1.0i). Se ha solucionado en OpenSSL 1.0.2q (afecta a 1.0.2-1.0.2p).

Se ha demostrado que el algoritmo de firmas ECDSA en OpenSSL es vulnerable a un ataque de sincronización de canal lateral. Un atacante podría emplear variaciones en el algoritmo de firma para recuperar la clave privada. Se ha solucionado en OpenSSL 1.1.0j (afecta a 1.1.0-1.1.0i). Se ha solucionado en OpenSSL 1.1.1a (afecta a 1.1.1).

drivers/tty/n_tty.c en el kernel de Linux en versiones anteriores a la 4.14.11 permite que atacantes locales (que pueden acceder a los pseudoterminales) bloqueen el uso de dispositivos pseudoterminal debido a una confusión EXTPROC versus ICANON en TIOCINQ.

En Ansible, se ha descubierto que las variables de inventario se cargan desde el directorio de trabajo actual cuando se ejecutan comandos ad-hoc bajo el control del atacante, lo que permite la ejecución de código arbitrario como resultado.

Durante los acuerdos de clave en un handshake TLS mediante un conjunto de cifrado basado en DH(E), un servidor malicioso puede enviar un valor primo muy grande al cliente. Esto provocará que el cliente gaste una cantidad de tiempo demasiado grande generando una clave para este primo, lo que resulta en un bloqueo hasta que termine el cliente. Esto podría explotarse en un ataque de Denegación de servicio (DoS). Se ha solucionado en OpenSSL 1.1.0i-dev (afecta a 1.1.0-1.1.0h). Se ha solucionado en OpenSSL 1.0.2p-dev (afecta a 1.0.2-1.0.2o).

Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Performance Schema). Las versiones compatibles que se han visto afectadas son la 05/07/2021 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).

Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: DML). Las versiones compatibles que se han visto afectadas son la 05/07/2021 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

Se ha demostrado que el algoritmo de generación de claves RSA en OpenSSL es vulnerable a un ataque de sincronización de canal lateral de caché. Un atacante con acceso suficiente para montar ataques de sincronización de caché durante el proceso de generación de claves RSA podría recuperar la clave privada. Se ha solucionado en OpenSSL 1.1.0i-dev (afecta a 1.1.0-1.1.0h). Se ha solucionado en OpenSSL 1.0.2p-dev (afecta a 1.0.2b-1.0.2o).

Se ha encontrado un fallo de Cross-Site Request Forgery (CSRF) en etcd, en versiones 3.3.1 y anteriores. Un atacante puede configurar un sitio web que intenta enviar una petición POST al servidor etcd y modificar una clave. La adición de una clave se realiza con PUT, por lo que es teóricamente seguro (no se puede realizar PUT desde un formulario HTML o similares), pero POST permite la creación de claves in-order que puede enviar un atacante.

Debido a un error de implementación, la función CRYPTO_memcmp en PA-RISC únicamente compara el bit menos significativo o de menor peso de cada byte. Esto permite que un atacante falsifique mensajes que se considerarían como autenticados en una cantidad de intentos menor que los que aseguran las garantías de seguridad del esquema. El módulo solo se puede compilar con un ensamblador HP-UX, de forma que solo se ven afectados los PA-RISC de HP-UX. Solucionado en OpenSSL 1.1.0h (versiones 1.1.0-1.1.0g afectadas).

Existe un error de propagación de dígito (carry propagation) en el procedimiento de elevación al cuadrado de x86_64 Montgomery en OpenSSL en versiones anteriores a la 1.0.2m y 1.1.0 anteriores a la 1.1.0g. Ningún algoritmo EC se ha visto afectado. El análisis sugiere que los ataques contra RSA y DSA como resultado de este defecto serían muy difíciles de realizar y no se ve probable. Los ataques contra DH se consideran simplemente factibles (aunque muy difíciles) porque la mayoría del trabajo necesario para deducir la información sobre una clave privada se puede realizar offline. La cantidad de recursos necesarios para este ataque sería muy elevada y lo más probable es que solo sea accesible para un número limitado de atacantes. Un atacante necesitaría acceso online a un sistema sin parchear que utilice la clave privada objetivo en una situación con parámetros DH persistentes y una clave privada que se comparte entre múltiples clientes. Esto solo afecta a los procesadores que son compatibles con las extensiones BMI1, BMI2 y ADX como Intel Broadwell (5ª generación) y posteriores o AMD Ryzen.

El cliente en C y basado en C, en la librería Apache Qpid Proton anterior a la versión 0.13.1 en Windows no verifica correctamente que el nombre de host del servidor coincide con un nombre de dominio en el Common Name (CN) del asunto o en el campo subjectAltName del certificado X.509 cuando se utiliza una capa de seguridad basada en SChannel, lo que permite a atacantes miTm suplantar servidores a través de un certificado válido.

Un mecanismo de protección contra CSRF en NetIQ Access Manager 4.1 en versiones anteriores a 4.1.2 Hot Fix 1 y 4.2 en versiones anteriores a 4.2.2 podría ser eludido por subidas repetidas provocando una carga alta.