Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Citrix XenMobile Server (CVE-2016-6877)
Gravedad:
BajaBaja
Publication date: 05/05/2017
Last modified:
26/06/2017
Descripción:
**EN DISPUTA** Citrix XenMobile Server en versiones anteriores a la 10.5.0.24 permite a atacantes man-in-the-middle lanzar redirecciones HTTP 302 a través de vectores relacionados con la cabecera HTTP Host y una página cacheada. NOTA: El fabricante informa "nuestro análisis interno de este problema concluye en que esto no fue una vulnerabilidad válida" porque un escenario donde se explote implica un ataque man-in-the-middle contra una sesión TLS.
Vulnerabilidad en OpenSSL (CVE-2016-7055)
Gravedad:
BajaBaja
Publication date: 04/05/2017
Last modified:
02/07/2019
Descripción:
Existe un error de propagación de acarreo en el procedimiento de multiplicación Montgomery Broadwell-specific en OpenSSL 1.0.2 y 1.1.0 en versiones anteriores a la 1.1.0c, que maneja longitudes de entrada divisibles por, pero más largas que 256 bits. El análisis sugiere que los ataques contra las claves privadas RSA, DSA y DH son imposibles. Esto se debe a que dicha subrutina no se utiliza en operaciones con la clave privada y una entrada elegida directamente por el atacante. En caso contrario, el error puede manifestarse como una autenticación transitoria o con errores en la negociación de claves o en un resultado erróneo reproducible en operaciones de clave pública a través de una entrada especialmente diseñada. Entre los algoritmos de Curva Eliptica solo los Brainpool P-512 están afectados y presumiblemente puede atacarse la negociación de claves ECDH. El impacto no se analizó en detalle, ya que los requisitos previos para el ataque se consideran improbables. Notese que varios clientes tienen que elegir la curva en cuestión y el servidor tiene que compartir la clave privada entre ellos, lo que no es un comportamiento por defecto en ningún caso. Incluso en esa situación, sólo los clientes que eligieron la curva se verán afectados.
Vulnerabilidad en Oracle Service Fulfillment Manager (CVE-2017-3284)
Gravedad:
MediaMedia
Publication date: 27/01/2017
Last modified:
18/05/2017
Descripción:
Una vulnerabilidad en el componente Oracle Service Fulfillment Manager de E-Business Suite de Oracle (subcomponente: User Interface). Las versiones compatibles que están afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6. Una vulnerabilidad fácilmente explotable permite a los atacantes no autenticados con acceso a la red por medio de HTTP comprometer a Oracle Service Fulfillment Manager. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad esta en Oracle Service Fulfillment Manager, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o en un acceso completo a todos los datos accesibles de Oracle Service Fulfillment Manager, así como también en actualizaciones no autorizadas, y en insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Service Fulfillment Manager. CVSS versión 3.0 Puntuación base 8.2 (Impactos de confidencialidad e integridad).
Vulnerabilidad en Openshift. (CVE-2016-1906)
Gravedad:
CríticaCrítica
Publication date: 03/02/2016
Last modified:
18/05/2017
Descripción:
Openshift, permite a los atacantes remotos alcanzar privilegios mediante la actualización de una configuración de compilación que fue diseñada con un tipo permitido en un tipo que no está permitido.