Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en TLS en el archivo net/asio.cpp en el contenedor boost ASIO en Pichi (CVE-2020-13616)
Gravedad:
MediaMedia
Publication date: 26/05/2020
Last modified:
29/05/2020
Descripción:
El contenedor boost ASIO en el archivo net/asio.cpp en Pichi versiones anteriores a 1.3.0, carece de la verificación del nombre de host TLS.
Vulnerabilidad en la implementación TLS en el archivo ssl.c en Axel (CVE-2020-13614)
Gravedad:
MediaMedia
Publication date: 26/05/2020
Last modified:
08/06/2020
Descripción:
Se detectó un problema en el archivo ssl.c en Axel versiones anteriores a 2.17.8. La implementación TLS carece de verificación del nombre de host.
Vulnerabilidad en el kernel de Microsoft Windows (CVE-2020-1114)
Gravedad:
AltaAlta
Publication date: 21/05/2020
Last modified:
29/05/2020
Descripción:
Existe una vulnerabilidad de elevación de privilegios cuando el kernel de Windows falla al manejar apropiadamente los objetos en memoria, también se conoce como "Vulnerabilidad de elevación de privilegios del Windows Kernel". Este ID de CVE es diferente de CVE-2020-1087.
Vulnerabilidad en el módulo Windows Background Intelligent Transfer Service (BITS) IIS de Microsoft (CVE-2020-1112)
Gravedad:
AltaAlta
Publication date: 21/05/2020
Last modified:
29/05/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el módulo Windows Background Intelligent Transfer Service (BITS) IIS maneja inapropiadamente el contenido cargado, también se conoce como "Windows Background Intelligent Transfer Service Elevation of Privilege Vulnerability".
Vulnerabilidad en la Windows Update Stack de Microsoft (CVE-2020-1109)
Gravedad:
AltaAlta
Publication date: 21/05/2020
Last modified:
29/05/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando la Windows Update Stack presenta un fallo al manejar apropiadamente objetos en memoria, también se conoce como "Windows Update Stack Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1110.
Vulnerabilidad en Windows Error Reporting (WER) de Microsoft (CVE-2020-1088)
Gravedad:
MediaMedia
Publication date: 21/05/2020
Last modified:
29/05/2020
Descripción:
Existe una vulnerabilidad de elevación de privilegios en Windows Error Reporting (WER) cuando WER maneja y ejecuta archivos, también se conoce como "Windows Error Reporting Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1021, CVE-2020-1082.
Vulnerabilidad en el Windows Kernel de Microsoft. (CVE-2020-1087)
Gravedad:
MediaMedia
Publication date: 21/05/2020
Last modified:
29/05/2020
Descripción:
Existe una vulnerabilidad de elevación de privilegios en la manera en que el Windows Kernel maneja objetos en memoria, también se conoce como "Windows Kernel Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1114.
Vulnerabilidad en las políticas entre dominios en Microsoft Edge. (CVE-2020-1056)
Gravedad:
MediaMedia
Publication date: 21/05/2020
Last modified:
29/05/2020
Descripción:
Existe una vulnerabilidad de elevación de privilegios cuando Microsoft Edge no aplica apropiadamente las políticas entre dominios, lo que podría permitir a un atacante acceder a la información de un dominio e inyectarla en otro dominio. En un escenario de ataque basado en la web, un atacante podría alojar un sitio web que es usado para intentar explotar la vulnerabilidad, también se conoce como 'Microsoft Edge Elevation of Privilege Vulnerability'.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la verificación de la dirección de correo en qmail-verify usado en netqmail (CVE-2020-3811)
Gravedad:
MediaMedia
Publication date: 26/05/2020
Last modified:
05/10/2020
Descripción:
qmail-verify como es usado en netqmail versión 1.06 es propenso a una vulnerabilidad de omisión de verificación de dirección de correo.
Vulnerabilidad en libEMF (ECMA-234 Metafile Library) (CVE-2020-11866)
Gravedad:
MediaMedia
Publication date: 11/05/2020
Last modified:
17/06/2020
Descripción:
libEMF (también se conoce como ECMA-234 Metafile Library) versiones hasta 1.0.11, permite un uso de la memoria previamente liberada.
Vulnerabilidad en el archivo cmdline en los procfs en una contraseña con el argumento "password" del módulo svn en la línea de comandos svn en Ansible (CVE-2020-1739)
Gravedad:
BajaBaja
Publication date: 12/03/2020
Last modified:
29/05/2020
Descripción:
Se detectó un fallo en Ansible versiones 2.7.16 y anteriores, versiones 2.8.8 y anteriores y versiones 2.9.5 y anteriores, cuando es establecida una contraseña con el argumento "password" del módulo svn, es usado en la línea de comandos svn, revelando a otros usuarios dentro del mismo nodo. Un atacante podría tomar ventaja de ello mediante una lectura del archivo cmdline de ese PID en particular en los procfs.
Vulnerabilidad en un playbook en directorio temporal creado en /var/tmp en Ansible Engine. (CVE-2020-1733)
Gravedad:
BajaBaja
Publication date: 11/03/2020
Last modified:
13/06/2020
Descripción:
Se encontró un fallo de condición de carrera en Ansible Engine versiones 2.7.17 y anteriores, 2.8.9 y anteriores, 2.9.6 y anteriores, cuando se ejecuta un playbook con un usuario convertido a no privilegiado. Cuando Ansible necesita ejecutar un módulo con un usuario convertido, el directorio temporal es creado en /var/tmp. Este directorio se crea con "umask 77 && mkdir -p (dir)"; Esta operación no tiene un fallo si el directorio ya existe y es propiedad de otro usuario. Un atacante podría tomar ventaja para tomar el control del usuario convertido, ya que el directorio de destino puede ser recuperado iterando "/proc//cmdline".
Vulnerabilidad en el archivo arch/x86/include/asm/fpu/internal.h en la función fpregs_state_valid en el kernel de Linux, usado con GCC (CVE-2019-19602)
Gravedad:
MediaMedia
Publication date: 05/12/2019
Last modified:
24/08/2020
Descripción:
La función fpregs_state_valid en el archivo arch/x86/include/asm/fpu/internal.h en el kernel de Linux versiones anteriores a 5.4.2, cuando es usado GCC versión 9, permite a atacantes dependiendo del contexto causar una denegación de servicio (corrupción de memoria) o posiblemente tener otros impactos no especificados debido a un almacenamiento en caché incorrecto de fpu_fpregs_owner_ctx, como es demostrado por el manejo inapropiado de la preferencia no cooperativa basada en señal en Go versiones 1.14 preliminares a amd64, también se conoce como CID-59c4 anywhere53abc.
Vulnerabilidad en ansible (CVE-2018-16876)
Gravedad:
BajaBaja
Publication date: 03/01/2019
Last modified:
29/05/2020
Descripción:
ansible en versiones anteriores a las 2.5.14, 2.6.11 y 2.7.5 es vulnerable a un fallo de divulgación de información en el modo vvv+ con "no_log" habilitado, el cual podría provocar el filtrado de datos sensibles.
Vulnerabilidad en ansible (CVE-2018-10875)
Gravedad:
MediaMedia
Publication date: 13/07/2018
Last modified:
29/05/2020
Descripción:
Se ha encontrado un error en ansible. ansible.cfg se lee desde el directorio de trabajo actual, que puede alterarse para hacer que señale a un plugin o una ruta de módulo bajo el control de un atacante, permitiendo que el atacante ejecute código arbitrario.
Vulnerabilidad en Ansible (CVE-2018-10855)
Gravedad:
MediaMedia
Publication date: 02/07/2018
Last modified:
29/05/2020
Descripción:
Ansible, en versiones 2.5 anteriores a la 2.5.5 y 2.4 anteriores a la 2.4.5, no cumplen con la marca de tarea no_log para las tareas fallidas. Cuando se ha empleado la marca no_log para proteger datos sensibles que se pasan a una tarea desde que se registra y esa tarea no se ejecuta con éxito, Ansible mostrará datos sensibles en archivos de registro y en el terminal del usuario que ejecuta Ansible.
Vulnerabilidad en Google Chrome (CVE-2011-1444)
Gravedad:
MediaMedia
Publication date: 03/05/2011
Last modified:
29/05/2020
Descripción:
Condición de carrera en la aplicación lanzador de sandbox de Google Chrome en Linux antes de v11.0.696.57 permite a atacantes remotos provocar una denegación de servicio o posiblemente tener un impacto no especificado a través de vectores desconocidos.
Vulnerabilidad en Google Chrome (CVE-2011-1439)
Gravedad:
MediaMedia
Publication date: 03/05/2011
Last modified:
29/05/2020
Descripción:
Google Chrome anterior a v11.0.696.57 en Linux no aisla adecuadamente los procesos de renderizado, teniendo un impacto no especificado y vectores de ataque remotos.
Vulnerabilidad en Google Chrome (CVE-2011-1436)
Gravedad:
MediaMedia
Publication date: 03/05/2011
Last modified:
29/05/2020
Descripción:
Google Chrome en Linux anterior a v11.0.696.57 no interactúa correctamente con X Window System, permitiendo a atacantes remotos provocar una denegación de servicio (caída de la aplicación) a través de vectores no especificados.
Vulnerabilidad en Google Chrome (CVE-2011-1305)
Gravedad:
MediaMedia
Publication date: 03/05/2011
Last modified:
29/05/2020
Descripción:
Condición de carrera en Google Chrome anterior a v11.0.696.57 en Linux y Mac OS X permite a atacantes remotos provocar una denegación de servicio o tener un impacto no especificado a través de vectores relacionados con las listas enlazadas y una base de datos.
Vulnerabilidad en proceso GPU de Google Chrome (CVE-2011-1302)
Gravedad:
AltaAlta
Publication date: 15/04/2011
Last modified:
29/05/2020
Descripción:
Desbordamiento de buffer en la memoria dinámica en el proceso GPU de Google Chrome en versiones anteriores a la 10.0.648.205 permite a atacantes remotos ejecutar código arbitrario a través de vectores de ataque desconocidos.
Vulnerabilidad en proceso GPU de Google Chrome (CVE-2011-1301)
Gravedad:
AltaAlta
Publication date: 15/04/2011
Last modified:
29/05/2020
Descripción:
Vulnerabilidad de tipo usar-después-de-liberar en el proceso GPU de Google Chrome en versiones anteriores a la 10.0.648.205 permite a atacantes remotos ejecutar código arbitrario a partir de vectores desconocidos.
Vulnerabilidad en Google Chrome (CVE-2011-1291)
Gravedad:
AltaAlta
Publication date: 25/03/2011
Last modified:
29/05/2020
Descripción:
Google Chrome antes de v10.0.648.204 no controla correctamente las tipos cadena, lo que permite a atacantes remotos provocar una denegación de servicio o posiblemente tener un impacto no especificado a través de vectores desconocidos, relacionados con un "error de protocolo ".
Vulnerabilidad en Google Chrome (CVE-2011-1295)
Gravedad:
AltaAlta
Publication date: 25/03/2011
Last modified:
29/05/2020
Descripción:
WebKit, tal y como es usado en Google Chrome anterior a versión 10.0.648.204 y Apple Safari anterior a la versión 5.0.6, no maneja apropiadamente el parentesco entre nodos, lo que permite a los atacantes remotos causar una denegación de servicio (corrupción del árbol DOM), conducir ataques de tipo cross-site scripting (XSS), o posiblemente tener otro impacto no especificado por medio de vectores desconocidos.
Vulnerabilidad en Google Chrome (CVE-2011-1296)
Gravedad:
AltaAlta
Publication date: 25/03/2011
Last modified:
29/05/2020
Descripción:
Google Chrome antes de v10.0.648.204 no controla correctamente el texto SVG, lo que permite a atacantes remotos provocar una denegación de servicio o posiblemente tener un impacto no especificado a través de vectores desconocidos que dan lugar a un puntero bloqueado.
Vulnerabilidad en Google Chrome (CVE-2011-1294)
Gravedad:
AltaAlta
Publication date: 25/03/2011
Last modified:
29/05/2020
Descripción:
Google Chrome antes de v10.0.648.204 no controla correctamente las secuencias de token CSS (Cascading Style Sheet), lo que permite a atacantes remotos provocar una denegación de servicio o posiblemente tener un impacto no especificado a través de vectores desconocidos que llevan a un "puntero stale".
Vulnerabilidad en Google Chrome (CVE-2011-1293)
Gravedad:
AltaAlta
Publication date: 25/03/2011
Last modified:
29/05/2020
Descripción:
Vulnerabilidad uso después de liberación en la aplicación HTMLCollection en Google Chrome antes de v10.0.648.204 permite a atacantes remotos provocar una denegación de servicio o posiblemente tener un impacto no especificado a través de vectores desconocidos.
Vulnerabilidad en Google Chrome (CVE-2011-1292)
Gravedad:
AltaAlta
Publication date: 25/03/2011
Last modified:
29/05/2020
Descripción:
Vulnerabilidad de uso después de liberación en el marco de la aplicación del cargador en Google Chrome antes de v10.0.648.204 permite a atacantes remotos provocar una denegación de servicio o posiblemente tener un impacto no especificado a través de vectores desconocidos.