Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los dispositivos Fujitsu Wireless Keyboard Set LX390 GK381 (CVE-2019-18200)
Gravedad:
HighHigh
Fecha publicación : 10/24/2019
Última modificación:
11/01/2019
Descripción:
Se detectó un problema en los dispositivos Fujitsu Wireless Keyboard Set LX390 GK381. Debido a la falta de cifrado apropiado de la comunicación de 2.4 GHz, son propensos a ataques de inyección de pulsaciones de teclas (keystroke).
Vulnerabilidad en los dispositivos Fujitsu Wireless Keyboard Set LX390 GK381 (CVE-2019-18201)
Gravedad:
Medium Medium
Fecha publicación : 10/24/2019
Última modificación:
11/01/2019
Descripción:
Se detectó un problema en los dispositivos Fujitsu Wireless Keyboard Set LX390 GK381. Debido a la falta de cifrado apropiado de la comunicación de 2.4 GHz, un atacante es capaz de espiar datos confidenciales tales como contraseñas.
Vulnerabilidad en Fujitsu Wireless Keyboard Set LX390 GK381 (CVE-2019-18199)
Gravedad:
Medium Medium
Fecha publicación : 10/24/2019
Última modificación:
11/01/2019
Descripción:
Se detectó un problema en los dispositivos Fujitsu Wireless Keyboard Set LX390 GK381. Debido a la falta de cifrado apropiado de la comunicación de 2.4 GHz, y debido a la autenticación basada en contraseña, son vulnerables a los ataques de repetición.
Vulnerabilidad en el archivo terramaster_TNAS-00E43A_config_backup.bin en los dispositivos TerraMaster FS-210 (CVE-2019-18383)
Gravedad:
Medium Medium
Fecha publicación : 10/23/2019
Última modificación:
11/01/2019
Descripción:
Se detectó un problema en los dispositivos TerraMaster FS-210 versión 4.0.19. Uno puede descargar archivos de copia de seguridad remotamente desde el archivo terramaster_TNAS-00E43A_config_backup.bin sin el permiso.
Vulnerabilidad en la subcadena filename=*public*%25252Fadmin_OnlyRead.txt en los dispositivos TerraMaster FS-210 (CVE-2019-18384)
Gravedad:
Medium Medium
Fecha publicación : 10/23/2019
Última modificación:
11/01/2019
Descripción:
Se detectó un problema en los dispositivos TerraMaster FS-210 versión 4.0.19. Un usuario no administrativo remoto autenticado puede leer archivos compartidos no autorizados, como es demostrado por la subcadena filename=*public*%25252Fadmin_OnlyRead.txt.
Vulnerabilidad en BIND y BIND 9 Supported Preview Edition (CVE-2018-5743)
Gravedad:
Medium Medium
Fecha publicación : 10/09/2019
Última modificación:
12/18/2019
Descripción:
Por diseño, BIND está destinado a limitar el número de clientes TCP que pueden ser conectados en un momento dado. El número de conexiones permitidas es un parámetro sintonizable que, si no se encuentra configurado, por defecto es un valor conservador para la mayoría de los servidores. Desafortunadamente, el código que estaba destinado a limitar el número de conexiones simultáneas contenía un error que podría ser explotado para aumentar el número de conexiones simultáneas más allá de este límite. Versiones afectadas: BIND 9.9.0 hasta 9.10.8-P1, 9.11.0 hasta 9.11.6, 9.12.0 hasta 9.12.4, 9.14.0. BIND 9 Supported Preview Edition versiones 9.9.3-S1 hasta 9.11.5-S3 y 9.11.5-S5. Las versiones 9.13.0 hasta 9.13.7 de la rama de desarrollo 9.13 también están afectadas. Las versiones anteriores a BIND 9.9.0 no han sido evaluadas para la vulnerabilidad de CVE-2018-5743.
Vulnerabilidad en la funcionalidad managed-keys en BIND y BIND 9 Supported Preview Edition (CVE-2018-5745)
Gravedad:
LowLow
Fecha publicación : 10/09/2019
Última modificación:
11/05/2019
Descripción:
"managed-keys" es una característica que permite a un solucionador BIND mantener automáticamente las claves usadas por los anclajes de confianza que los operadores configuran para su uso en la comprobación de DNSSEC. Debido a un error en la funcionalidad managed-keys, es posible que un servidor BIND que utiliza managed-keys salga debido a un error de aserción si, durante la renovación de claves, las claves de un ancla de confianza son reemplazadas por claves que utilizan un algoritmo no compatible. Versiones afectadas: BIND 9.9.0 hasta 9.10.8-P1, 9.11.0 hasta 9.11.5-P1, 9.12.0 hasta 9.12.3-P1 y versiones 9.9.3-S1 hasta 9.11.5- S3 de BIND 9 Supported Preview Edition. Las versiones 9.13.0 hasta 9.13.6 de la rama de desarrollo 9.13 también están afectadas. Las versiones anteriores a BIND 9.9.0 no han sido evaluadas para la vulnerabilidad de CVE-2018-5745.
Vulnerabilidad en el archivo query.c en la funcionalidad nxdomain-redirect en nxdomain-redirect en BIND (CVE-2019-6467)
Gravedad:
Medium Medium
Fecha publicación : 10/09/2019
Última modificación:
12/18/2019
Descripción:
Un error de programación en la funcionalidad nxdomain-redirect puede causar un error de aserción en el archivo query.c, si el espacio de nombres alternativo utilizado por nxdomain-redirect es un descendiente de una zona que es servida localmente. El escenario más probable en el que esto podría presentarse es si el servidor, además de realizar el redireccionamiento de NXDOMAIN para clientes recursivos, también está sirviendo una copia local de la zona root o utilizando la duplicación para proveer la zona root, aunque también son posibles otras configuraciones. Versiones afectadas: BIND 9.12.0 hasta 9.12.4, y 9.14.0. También afecta a todas las versiones en la rama de desarrollo 9.13.
Vulnerabilidad en la funcionalidad nxdomain-redirect en BIND Supported Preview Edition y ONLY BIND Supported Preview Edition (CVE-2019-6468)
Gravedad:
Medium Medium
Fecha publicación : 10/09/2019
Última modificación:
12/18/2019
Descripción:
En BIND Supported Preview Edition, puede presentarse un error en la funcionalidad nxdomain-redirect en las versiones que admiten las funcionalidades EDNS Client Subnet (ECS). En aquellas versiones que tienen soporte ECS, es probable que habilitar nxdomain-redirect conlleve a la salida de BIND debido a un error de aserción. Versiones afectadas: BIND Supported Preview Edition 9.10.5-S1 hasta 9.11.5-S5. Las versiones de ONLY BIND Supported Preview Edition están afectadas.
Vulnerabilidad en una respuesta que tiene RRSIG en la funcionalidad EDNS Client Subnet (ECS) en BIND 9 Supported Preview Edition (CVE-2019-6469)
Gravedad:
Medium Medium
Fecha publicación : 10/09/2019
Última modificación:
11/01/2019
Descripción:
Un error en la funcionalidad EDNS Client Subnet (ECS) para los solucionadores recursivos puede hacer que BIND salga con un fallo de aserción cuando se procesa una respuesta que tiene RRSIG malformados. Versiones afectadas: BIND 9.10.5-S1 hasta 9.11.6-S1 de BIND 9 Supported Preview Edition.
Vulnerabilidad en el archivo dispatch.c en REQUIRE en BIND y BIND Support Preview Edition (CVE-2019-6471)
Gravedad:
Medium Medium
Fecha publicación : 10/09/2019
Última modificación:
11/01/2019
Descripción:
Una condición de carrera que puede presentarse al descartar paquetes malformados puede provocar la salida de BIND debido a un fallo de aserción de REQUIRE en el archivo dispatch.c. Versiones afectadas: BIND 9.11.0 hasta 9.11.7, 9.12.0 hasta 9.12.4-P1, 9.14.0 hasta 9.14.2. También todas las versiones de la rama de desarrollo BIND 9.13 y la versión 9.15.0 de la rama de desarrollo BIND 9.15 y las versiones 9.11.3-S1 hasta 9.11.7-S1 de BIND Support Preview Edition.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los controles para las transferencias de zona en Dynamically Loadable Zones (DLZs) en BIND y BIND 9 Supported Preview Edition (CVE-2019-6465)
Gravedad:
Medium Medium
Fecha publicación : 10/09/2019
Última modificación:
12/16/2019
Descripción:
Los controles para las transferencias de zona pueden no ser aplicados correctamente en Dynamically Loadable Zones (DLZs) si las zonas son grabables. Versiones afectadas: BIND 9.9.0 hasta 9.10.8-P1, 9.11.0 hasta 9.11.5-P2, 9.12.0 hasta 9.12.3-P2, y versiones 9.9.3-S1 hasta 9.11.5-S3 de BIND 9 Supported Preview Edition. Las versiones 9.13.0 hasta 9.13.6 de la rama de desarrollo 9.13 también están afectadas. Las versiones anteriores a BIND 9.9.0 no han sido evaluadas para vulnerabilidad de CVE-2019-6465.
Vulnerabilidad en implementación de TCP (gnrc_tcp) en RIOT. (CVE-2019-15134)
Gravedad:
HighHigh
Fecha publicación : 08/17/2019
Última modificación:
11/01/2019
Descripción:
RIOT versiones hasta 2019.07, contiene una pérdida de memoria en la implementación de TCP (gnrc_tcp), lo que permite a un atacante consumir toda la memoria disponible para los paquetes de red y, por lo tanto, impedir que todos los hilos (subprocesos) de la red funcionen. Esto está relacionado con la función _receive en el archivo sys/net/gnrc/transport_layer/tcp/gnrc_tcp_eventloop.c recibiendo un ACK antes de un SYN.