Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un patrón de indexación doble en la implementación de "SparseFillEmptyRowsGrad" en Tensorflow (CVE-2020-15195)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
01/10/2020
Descripción:
En Tensorflow versiones anteriores a 1.15.4, 2.0.3, 2.1.2, 2.2.1 y 2.3.1, la implementación de "SparseFillEmptyRowsGrad" usa un patrón de indexación doble. Es posible que "reverse_index_map (i)" sea un índice fuera de los límites de "grad_values", lo que resulta en un desbordamiento del búfer de la pila. El problema es parcheado en el commit 390611e0d45c5793c7066110af37c8514e6a6c54 y es publicado en TensorFlow versiones 1.15.4, 2.0.3, 2.1.2, 2.2.1 o 2.3.1
Vulnerabilidad en la implementación de "SparseCountSparseOutput" en Tensorflow (CVE-2020-15197)
Gravedad:
BajaBaja
Publication date: 25/09/2020
Last modified:
01/10/2020
Descripción:
En Tensorflow anteriores a la versión 2.3.1, la implementación de "SparseCountSparseOutput" no comprueba que los argumentos de entrada formen un tensor disperso válido. En particular, no existe comprobación de que el tensor de "índices" tenga rango 2. Este tensor debe ser una matriz porque el código asume que se accede a sus elementos como elementos de una matriz. Sin embargo, los usuarios maliciosos pueden pasar tensores de diferente rango, lo que resulta en un fallo de aserción "CHECK" y un bloqueo. Esto puede ser usado para causar denegación de servicio en instalaciones de servicio, si los usuarios pueden controlar los componentes del tensor disperso de entrada. El problema es parcheado en el commit 3cbb917b4714766030b28eba9fb41bb97ce9ee02 y es publicado en TensorFlow versión 2.3.1

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en restricciones de seguridad en IBM Security Secret Server (CVE-2020-4607)
Gravedad:
MediaMedia
Publication date: 29/09/2020
Last modified:
30/09/2020
Descripción:
IBM Security Secret Server (IBM Security Verify Privilege Vault Remote versión 1.2), podría permitir a un usuario local omitir restricciones de seguridad debido a una comprobación de entrada inapropiada. IBM X-Force ID: 184884
Vulnerabilidad en X.509 certificates generated by the MongoDB Enterprise Kubernetes Operator may allow an attacker with access to the Kubernetes cluster improper access to MongoDB (CVE-2020-7922)
Gravedad:
MediaMedia
Publication date: 09/04/2020
Last modified:
29/09/2020
Descripción:
Los certificados X.509 generados por el MongoDB Enterprise Kubernetes Operator pueden permitir a un atacante con acceso al clúster de Kubernetes un acceso inapropiado a instancias de MongoDB. Los clientes que no utilizan la autenticación X.509 y aquellos que no usan el Operator para generar sus certificados X.509 están sin afectación. Este problema afecta: MongoDB Inc. MongoDB Enterprise Kubernetes Operator versión 1.0, 1.1, 1.2 versiones anteriores a la 1.2.4, 1.3 versiones anteriores a la 1.3.1, 1.2, 1.4 versiones anteriores a la 1.4.4.
Vulnerabilidad en una entrada JSON en BSON en js-bson (CVE-2019-2391)
Gravedad:
MediaMedia
Publication date: 31/03/2020
Last modified:
29/09/2020
Descripción:
El análisis incorrecto de determinada entrada JSON puede resultar en que js-bson no serialice correctamente BSON. Esto puede causar un comportamiento inesperado de la aplicación, incluyendo una divulgación de los datos. Este problema afecta: La biblioteca js-bson de MongoDB Inc. versión 1.1.3 y anteriores.
Vulnerabilidad en Un usuario o programa sin privilegios en Microsoft Windows que puede crear archivos de configuración de OpenSSL (CVE-2019-2390)
Gravedad:
MediaMedia
Publication date: 30/08/2019
Last modified:
14/10/2020
Descripción:
Un usuario o programa sin privilegios en Microsoft Windows que puede crear archivos de configuración de OpenSSL en una ubicación fija puede hacer que los programas de utilidades enviados con el servidor de MongoDB ejecuten código definido por el atacante como el usuario que ejecuta la utilidad. Este problema afecta: MongoDB Inc. Servidor MongoDB versiones 4.0 anteriores a la versión 4.0.11; versiones 3.6 anteriores a la versión 3.6.14; versiones 3.4 anteriores a la versión 3.4.22.