Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el manejo del protocolo LLDP en SonicWall Switch (CVE-2021-20024)
Gravedad:
MediaMedia
Publication date: 09/07/2021
Last modified:
16/07/2021
Descripción:
Múltiples vulnerabilidades de lectura fuera de límites en SonicWall Switch cuando se maneja el protocolo LLDP permite a un atacante causar una inestabilidad del sistema o leer potencialmente información confidencial de las ubicaciones de memoria

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en respuestas a peticiones de rango HTTP en Squid (CVE-2021-31807)
Gravedad:
MediaMedia
Publication date: 08/06/2021
Last modified:
14/09/2021
Descripción:
Se ha detectado un problema en Squid versiones anteriores a 4.15 y en versiones 5.x anteriores a 5.0.6. Un problema de desbordamiento de enteros permite a un servidor remoto conseguir una Denegación de Servicio cuando se entrega respuestas a peticiones de rango HTTP. El desencadenante del problema es un encabezado que puede esperarse que se presente en el tráfico HTTP sin ninguna intención maliciosa
Vulnerabilidad en el servidor slapd en OpenLDAP (CVE-2020-25709)
Gravedad:
MediaMedia
Publication date: 18/05/2021
Last modified:
14/09/2021
Descripción:
Se encontró un fallo en OpenLDAP. Este fallo permite a un atacante que puede enviar un paquete malicioso a ser procesado por el servidor slapd de OpenLDAP, para desencadenar un fallo de aserción. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Vulnerabilidad en Apache ZooKeeper (CVE-2018-8012)
Gravedad:
MediaMedia
Publication date: 21/05/2018
Last modified:
14/09/2021
Descripción:
No se aplica autenticación/autorización cuando un servidor intenta unirse a un quorum en Apache ZooKeeper en versiones anteriores a la 3.4.10 y 3.5.0-alpha hasta 3.5.3-beta. Como resultado, un endpoint arbitrario podría unirse al clúster y comenzar a propagar cambios falsos al líder.
Vulnerabilidad en Apache Synapse (CVE-2017-15708)
Gravedad:
AltaAlta
Publication date: 11/12/2017
Last modified:
16/07/2021
Descripción:
En Apache Synapse, no se requiere por defecto autenticación para Java Remote Method Invocation (RMI). Por lo tanto, Apache Synapse 3.0.1 o todas las versiones anteriores (3.0.0, 2.1.0, 2.0.0, 1.2, 1.1.2 y 1.1.1) permite ataques de ejecución remota de código que pueden realizarse inyectando objetos serializados especialmente manipulados. La presencia de Apache Commons Collections 3.2.1 (commons-collections-3.2.1.jar) o versiones previas en la distribución Synapse lo hace explotable. Para mitigar este problema, es necesario limitar el acceso RMI solo a usuarios de confianza. La actualización a la versión 3.0.1 eliminará el riesgo de tener dicha versión de Commons Collection. En Synapse 3.0.1, Commons Collection se ha actualizado a la versión 3.2.2.
Vulnerabilidad en NTP (CVE-2015-7705)
Gravedad:
AltaAlta
Publication date: 07/08/2017
Last modified:
16/07/2021
Descripción:
La funcionalidad de limitación de velocidad en NTP 4.x en versiones anteriores a la 4.2.8p4 y 4.3.x en versiones anteriores a la 4.3.77 permite que atacantes remotos provoquen errores sin especificar empleando un gran número de peticiones manipuladas.
Vulnerabilidad en NTP (CVE-2015-7853)
Gravedad:
AltaAlta
Publication date: 07/08/2017
Last modified:
16/07/2021
Descripción:
El parámetro datalen en el driver reflock en NTP 4.2.x en versiones anteriores a la 4.2.8p4, y 4.3.x en versiones anteriores a la 4.3.77 permite que atacantes remotos ejecuten código arbitrario o provoquen una denegación de servicio utilizando un valor de entrada negativo.
Vulnerabilidad en Moxa MGate MB3180, MGate MB3280, MGate MB3480, MGate MB3170 y MGate MB3270 (CVE-2016-5804)
Gravedad:
MediaMedia
Publication date: 15/07/2016
Last modified:
16/07/2021
Descripción:
Moxa MGate MB3180 en versiones anteriores a 1.8, MGate MB3280 en versiones anteriores a 2.7, MGate MB3480 en versiones anteriores a 2.6, MGate MB3170 en versiones anteriores a 2.5 y MGate MB3270 en versiones anteriores a 2.7 usa encriptación débil, lo que permite a atacantes remotos eludir autenticación a través de una serie de conjeturas de fuerza-bruta para un valor de parámetro.
Vulnerabilidad en ntpd en NTP (CVE-2016-4953)
Gravedad:
MediaMedia
Publication date: 04/07/2016
Last modified:
16/07/2021
Descripción:
ntpd en NTP 4.x en versiones anteriores a 4.2.8p8 permite a atacantes remotos provocar una denegación de servicio (desmovilización de asociación efímera) mediante el envío de un paquete crypto-NAK falsificado con datos de autenticación incorrectos en un momento determinado.
Vulnerabilidad en la función process_packet en ntp_proto.c en ntpd en NTP (CVE-2016-4954)
Gravedad:
MediaMedia
Publication date: 04/07/2016
Last modified:
16/07/2021
Descripción:
La función process_packet en ntp_proto.c en ntpd en NTP 4.x en versiones anteriores a 4.2.8p8 permite a atacantes remotos provocar una denegación de servicio (modificación de par variable) enviando paquetes falsificados desde muchas direcciones IP de origen en un determinado escenario, según lo demostrado desencadenando una indicación de salto incorrecta.
CVE-2016-4955
Gravedad:
MediaMedia
Publication date: 04/07/2016
Last modified:
16/07/2021
Descripción:
ntpd en NTP 4.x en versiones anteriores a 4.2.8p8, cuando está habilitada la autoclave, permite a atacantes remotos provocar una denegación de servicio (limpiando el par variable y corte de asociación) enviando (1) un paquete crypto-NAK manipulado o (2) un paquete con un valor MAC incorrecto en un momento determinado.
Vulnerabilidad en ntpd en NTP (CVE-2016-4956)
Gravedad:
MediaMedia
Publication date: 04/07/2016
Last modified:
16/07/2021
Descripción:
ntpd en NTP 4.x en versiones anteriores a 4.2.8p8 permite a atacantes remotos provocar una denegación de servicio (transición de modo intercalado y cambio de hora) a través de un paquete de difusión manipulado. NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2016-1548.
Vulnerabilidad en Filters\LAV\avfilter-lav-4.dll en K-lite Codec (CVE-2014-3452)
Gravedad:
MediaMedia
Publication date: 16/05/2014
Last modified:
16/07/2021
Descripción:
Filters\LAV\avfilter-lav-4.dll en K-lite Codec 10.4.5 y anteriores permite a atacantes remotos causar una denegación de servicio (caída) a través de un archivo .jpg manipulado.
Vulnerabilidad en el controlador de usuarios en Katello y Red Hat Satellite (CVE-2013-2143)
Gravedad:
MediaMedia
Publication date: 17/04/2014
Last modified:
16/07/2021
Descripción:
El controlador de usuarios en Katello 1.5.0-14 y anteriores, y Red Hat Satellite, no comprueba autorización para la acción update_roles, lo que permite a usuarios remotos autenticados ganar privilegios mediante la configuración de una cuenta de usuario hacia una cuenta de administrador.