Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Cisco Nexus (CVE-2019-1901)
Gravedad:
AltaAlta
Publication date: 31/07/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el subsistema de protocolo de descubrimiento de capa de enlace (LLDP) del software de cambio de modo de infraestructura centrada en aplicaciones (ACI) de Cisco Nexus serie 9000 podría permitir que un atacante adyacente no autenticado cause una condición de denegación de servicio (DoS) o ejecute código arbitrario con privilegios de root . La vulnerabilidad se debe a una validación de entrada incorrecta de ciertos campos de tipo, longitud, valor (TLV) del encabezado de trama LLDP. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete LLDP diseñado al dispositivo de destino. Una explotación con éxito puede conducir a una condición de desbordamiento del búfer que podría causar una condición DoS o permitir al atacante ejecutar código arbitrario con privilegios de root. Nota: Esta vulnerabilidad no puede ser explotada por el tráfico de tránsito a través del dispositivo; el paquete especialmente diseñado debe estar dirigido a una interfaz conectada directamente. Esta vulnerabilidad afecta a los conmutadores Fabric Cisco Nexus serie 9000 en modo ACI si están ejecutando una versión del software del conmutador de modo Cisco Nexus serie 9000 ACI anterior a 13.2 (7f) o cualquier versión 14.x.
Vulnerabilidad en Heimdal KDC (CVE-2018-16860)
Gravedad:
MediaMedia
Publication date: 31/07/2019
Last modified:
14/08/2019
Descripción:
Se encontró un fallo en la implementación de Heimdal KDC de samba, versiones 4.8.x hasta 4.8.12 excluyéndola, versiones 4.9.x hasta 4.9.8 excluyéndola, y versiones 4.10.x hasta 4.10.3 excluyéndola, cuando es usado en modo AD DC . Un atacante de tipo man in the middle podría usar este fallo para interceptar la petición al KDC y reemplazar el nombre de usuario (principal) en la petición con cualquier nombre de usuario (principal) deseado que exista en el KDC obteniendo efectivamente un ticket para este principal.
Vulnerabilidad en la Máquina Virtual invitada en fence-agents (CVE-2019-10153)
Gravedad:
MediaMedia
Publication date: 30/07/2019
Last modified:
09/10/2019
Descripción:
Se detectó un fallo en fence-agents, anterior a versión 4.3.4, donde el uso de caracteres no ASCII en un comentario de una Máquina Virtual invitada u otros campos causaría que fence_rhevm salga con una excepción. En entornos de clúster, esto podría conllevar a impedir una recuperación automatizada o por otra parte denegar el servicio a los clústeres de los que esa Máquina Virtual es miembro.
Vulnerabilidad en TLS en el agente APM de Elastic para Ruby (CVE-2019-7615)
Gravedad:
MediaMedia
Publication date: 30/07/2019
Last modified:
09/10/2019
Descripción:
Se encontró una fallo de comprobación del certificado TLS en el agente APM de Elastic para Ruby versiones anteriores a 2.9.0. Cuando se especifica un certificado de CA de un servidor de confianza por medio de la configuración "server_ca_cert", el agente de Ruby no comprobaría apropiadamente el certificado devuelto por el servidor APM. Esto podría resultar en un ataque de tipo man in the middle contra el agente de Ruby.
Vulnerabilidad en OPENSSLDIR en OpenSSL (CVE-2019-1552)
Gravedad:
BajaBaja
Publication date: 30/07/2019
Last modified:
23/08/2019
Descripción:
OpenSSL presenta valores predeterminados internos para un árbol de directorios donde puede encontrar un archivo de configuración, así como certificados utilizados para la comprobación en TLS. Este directorio se conoce más comúnmente como OPENSSLDIR, y se puede configurar con las opciones de configuración --prefix / --openssldir. Para las versiones 1.1.0 y 1.1.1 de OpenSSL, los destinos de configuración de mingw suponen que los programas y bibliotecas resultantes están instalados en un entorno similar a Unix y el prefijo predeterminado para la instalación del programa, así como para OPENSSLDIR debe ser “/usr/ local”. Sin embargo, los programas mingw son programas de Windows, y como tal, se encuentran buscando subdirectorios de “C:/usr/local”, que pueden ser grabables world, lo que permite a los usuarios no confiables modificar la configuración predeterminada de OpenSSL, insertar certificados de CA, modificar (o incluso reemplazar) los módulos de motor existentes, etc. Para OpenSSL versión 1.0.2, “/usr/local/ssl” se utiliza de por defecto para OPENSSLDIR en todos los Unix y Windows de destino, incluidas las compilaciones de Visual C. Sin embargo, algunas instrucciones de compilación para los diversos Windows de destino en la versión 1.0.2 le incentivan a especificar su propio --prefix. Las versiones 1.1.1, 1.1.0 y 1.0.2 de OpenSSL están afectadas por este problema. Debido al alcance limitado de las implementaciones afectadas, esto se ha evaluado como de baja gravedad y, por lo tanto, no estamos creando nuevas versiones en este momento. Corregido en OpenSSL versión 1.1.1d (versiones afectadas 1.1.1 hasta 1.1.1c). Corregido en OpenSSL versión 1.1.0l (versiones afectadas 1.1.0 hasta 1.1.0k). Corregido en OpenSSL versión 1.0.2t (versiones afectadas 1.0.2 hasta 1.0.2s).