Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en OpenSSL (CVE-2017-3730)
Gravedad:
MediaMedia
Publication date: 04/05/2017
Last modified:
25/04/2019
Descripción:
En OpenSSL versión 1.1.0 anterior a 1.1.0d, si un servidor malicioso suministra parámetros incorrectos para un intercambio de claves DHE o ECDHE, entonces esto puede resultar en que el cliente intente desreferenciar un puntero NULL que conduce a un bloqueo del cliente. Esto podría ser explotado en un ataque de denegación de servicio.
Vulnerabilidad en Apache Qpid Proton (CVE-2016-4467)
Gravedad:
MediaMedia
Publication date: 02/05/2017
Last modified:
23/04/2019
Descripción:
El cliente en C y basado en C, en la librería Apache Qpid Proton anterior a la versión 0.13.1 en Windows no verifica correctamente que el nombre de host del servidor coincide con un nombre de dominio en el Common Name (CN) del asunto o en el campo subjectAltName del certificado X.509 cuando se utiliza una capa de seguridad basada en SChannel, lo que permite a atacantes miTm suplantar servidores a través de un certificado válido.
Vulnerabilidad en el componente sshd de productos F5 (CVE-2017-6128)
Gravedad:
MediaMedia
Publication date: 01/05/2017
Last modified:
06/06/2019
Descripción:
Un atacante puede ser capaz de causar un ataque de denegación de servicio (DoS) contra el componente sshd en F5 BIG-IP, Enterprise Manager, BIG-IQ e iWorkflow
Vulnerabilidad en Avahi (CVE-2017-6519)
Gravedad:
MediaMedia
Publication date: 30/04/2017
Last modified:
08/03/2019
Descripción:
avahi-daemon en Avahi, hasta las versiones 0.6.32 y 0.7, responde a consultas IPv6 unicast arbitrarias de manera inadvertida con direcciones de origen que no se pueden resolver localmente, lo que permite a los atacantes remotos provocar una denegación de servicio (amplificación de tráfico) y puede conducir a una fuga de información, obteniendo información potencialmente sensible del dispositivo de respuesta mediante paquetes UDP del puerto 5353. NOTA: podría solaparse con CVE-2015-2809.
Vulnerabilidad en Tuleap (CVE-2017-7981)
Gravedad:
CríticaCrítica
Publication date: 29/04/2017
Last modified:
21/03/2019
Descripción:
Tuleap en versiones anteriores a 9.7 permite la inyección de comandos a través del plugin PhpWiki 1.3.10 SyntaxHighlighter. Esto ocurre en el componente Project Wiki porque la función PHP de proc_open se usa dentro de PhpWiki antes de la version 1.5.5 con un valor de sintaxis en su primer argumento y un usuario Tuleap autenticado puede controlar este valor, incluso con los metacaracteres de shell, como lo demuestra una línea '