Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la actualización de un clúster existente de OpenShift Container Platform. (CVE-2019-14819)
Gravedad:
MediaMedia
Publication date: 07/01/2020
Last modified:
10/01/2020
Descripción:
Se encontró un fallo durante la actualización de un clúster existente de OpenShift Container Platform versiones 3.x. Usando CRI-O, la cuenta de servicio dockergc es asignada al espacio de nombres actual del usuario que lleva a cabo la actualización. Este fallo puede permitir a un usuario sin privilegios escalar sus privilegios a los permitidos por las Restricciones del Contexto de Seguridad privilegiadas.
Vulnerabilidad en los archivos de entrada cuando se generan archivos TAR en cpio. (CVE-2019-14866)
Gravedad:
MediaMedia
Publication date: 07/01/2020
Last modified:
10/01/2020
Descripción:
En todas las versiones de cpio anteriores a la versión 2.13, no comprueba apropiadamente los archivos de entrada cuando se generan archivos TAR. Cuando cpio es usado para crear archivos TAR desde rutas en las que un atacante puede escribir, el archivo resultante puede contener archivos con permisos que el atacante no tenía o en rutas a las que no tenía acceso. Al extraer esos archivos desde un usuario con altos privilegios sin revisarlos cuidadosamente puede conllevar al compromiso del sistema.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Moodle (CVE-2019-14879)
Gravedad:
MediaMedia
Publication date: 07/01/2020
Last modified:
31/03/2020
Descripción:
Se detectó una vulnerabilidad en las versiones de Moodle 3.7.x en versiones anteriores a la 3.7.3, 3.6.x en versiones anteriores a la 3.6.7 y 3.5.x en versiones anteriores a la 3.5.9. Cuando se eliminaba una asignación de funciones de cohorte, no se revocaban las capacidades asociadas (cuando procedía).
Vulnerabilidad en Se descubrió un problema en los paquetes relacionados con las comunicaciones ROS (CVE-2019-13465)
Gravedad:
MediaMedia
Publication date: 30/12/2019
Last modified:
24/08/2020
Descripción:
Se descubrió un problema en los paquetes relacionados con las comunicaciones ROS (también conocido como ros_comm o ros-melodic-ros-comm) hasta la versión 1.14.3. ROS_ASSERT_MSG solo funciona cuando se define ROS_ASSERT_ENABLED. Esto lleva a un problema en la función remove () en clients / roscpp / src / libros / spinner.cpp. Cuando ROS_ASSERT_ENABLED no está definido, el bucle iterador se quedará fuera del alcance de la matriz y causará la denegación de servicio para otros componentes (que dependen de las funciones relacionadas con la comunicación de este paquete). NOTA: El informador de este problema ahora cree que fue una falsa alarma.