Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en uriparser (CVE-2018-20721)
Gravedad:
HighHigh
Fecha publicación : 01/16/2019
Última modificación:
03/01/2019
Descripción:
URI_FUNC() en UriParse.c en uriparser en versiones anteriores a la 0.9.1 tiene una lectura fuera de límites (en las funciones uriParse*Ex*) para un URI incompleto con una dirección IPv6 que contiene una dirección IPv4 embebida, como "//[::44.1".
Vulnerabilidad en ansible (CVE-2018-16876)
Gravedad:
LowLow
Fecha publicación : 01/03/2019
Última modificación:
05/29/2020
Descripción:
ansible en versiones anteriores a las 2.5.14, 2.6.11 y 2.7.5 es vulnerable a un fallo de divulgación de información en el modo vvv+ con "no_log" habilitado, el cual podría provocar el filtrado de datos sensibles.
Vulnerabilidad en Wireshark (CVE-2018-19628)
Gravedad:
Medium Medium
Fecha publicación : 11/29/2018
Última modificación:
03/19/2020
Descripción:
En Wireshark desde la versión 2.6.0 hasta la 2.6.4, el disector ZigBee ZCL podría cerrarse inesperadamente. Esto se abordó en epan/dissectors/packet-zbee-zcl-lighting.c evitando un error de división entre cero.
Vulnerabilidad en Ansible (CVE-2018-16837)
Gravedad:
LowLow
Fecha publicación : 10/23/2018
Última modificación:
10/02/2019
Descripción:
El módulo "User" de Ansible filtra cualquier dato que se pasa como parámetro a ssh-keygen. Esto podría desembocar en situaciones no deseadas como el paso de credenciales de frase de contraseña como parámetro para el ejecutable ssh-keygen. Las credenciales se muestran en texto claro a cada usuario con acceso solo a la lista de procesos.
Vulnerabilidad en Undertow (CVE-2018-14642)
Gravedad:
Medium Medium
Fecha publicación : 09/18/2018
Última modificación:
05/09/2019
Descripción:
Se ha encontrado una vulnerabilidad de fuga de información en Undertow. Si no están escritas todas las cabeceras en la primera llamada write(), el código que maneja las escrituras al búfer siempre escribirá el contenido completo del búfer writevBuffer, que podría contener datos de peticiones anteriores.
Vulnerabilidad en ansible (CVE-2018-10875)
Gravedad:
Medium Medium
Fecha publicación : 07/13/2018
Última modificación:
05/29/2020
Descripción:
Se ha encontrado un error en ansible. ansible.cfg se lee desde el directorio de trabajo actual, que puede alterarse para hacer que señale a un plugin o una ruta de módulo bajo el control de un atacante, permitiendo que el atacante ejecute código arbitrario.
Vulnerabilidad en Ansible (CVE-2018-10855)
Gravedad:
Medium Medium
Fecha publicación : 07/02/2018
Última modificación:
05/29/2020
Descripción:
Ansible, en versiones 2.5 anteriores a la 2.5.5 y 2.4 anteriores a la 2.4.5, no cumplen con la marca de tarea no_log para las tareas fallidas. Cuando se ha empleado la marca no_log para proteger datos sensibles que se pasan a una tarea desde que se registra y esa tarea no se ejecuta con éxito, Ansible mostrará datos sensibles en archivos de registro y en el terminal del usuario que ejecuta Ansible.
CVE-2018-6869
Gravedad:
Medium Medium
Fecha publicación : 02/09/2018
Última modificación:
06/28/2020
Descripción:
En ZZIPlib 0.13.68, hay una asignación de memoria no controlada y un cierre inesperado en la función __zzip_parse_root_directory en zzip/zip.c. Los atacantes remotos pueden aprovechar esta vulnerabilidad para provocar una denegación de servicio (DoS) mediante un archivo zip manipulado.
Vulnerabilidad en Suricata (CVE-2018-6794)
Gravedad:
Medium Medium
Fecha publicación : 02/07/2018
Última modificación:
03/01/2019
Descripción:
Suricata en versiones anteriores a la 4.0.4 es propenso a una vulnerabilidad de omisión de detección HTTP en detect.c y stream-tcp.c. Si un servidor malicioso interrumpe un flujo TCP normal y envía datos antes de que se complete el handshake tridireccional, los datos enviados por el servidor malicioso se aceptarán por parte de clientes web como el navegador web o herramientas de interfaz de línea de comandos de Linux, pero las firmas IDS de Suricata los ignorarán. Esto afecta a la mayoría de firmas IDS para el contenido del flujo TCP y los protocolos HTTP. Las firmas para los paquetes TCP inspeccionarán ese tráfico de red como de costumbre.
Vulnerabilidad en w3m (CVE-2018-6198)
Gravedad:
LowLow
Fecha publicación : 01/25/2018
Última modificación:
10/02/2019
Descripción:
w3m hasta la versión 0.5.3 no gestiona correctamente los archivos temporales cuando no se puede escribir en el directorio ~/.w3m, lo que permite que un atacante local cree un ataque symlink para sobrescribir archivos arbitrarios.
Vulnerabilidad en Sound eXchange (SoX) (CVE-2014-8145)
Gravedad:
HighHigh
Fecha publicación : 12/31/2014
Última modificación:
03/01/2019
Descripción:
Múltiples desbordamientos de buffer basados en memoria dinámica en Sound eXchange (SoX) 14.4.1 y anteriores permite a atacantes remotos tener un impacto sin especificar a través de un archivo WAV modificado a la función (1) start_read o (2) AdpcmReadBlock.