Home / Node / Boletín de INCIBE-CERT del 10-04-2019

Boletín de INCIBE-CERT del 10-04-2019

Actualización de seguridad de SAP de abril de 2019

Publication date: 
04/10/2019
Importance: 
5 - Crítica
Affected resources: 
  • SAP Business Client, versión 6.5
  • SAP Crystal Reports for Visual Studio, versión 2010
  • AP NetWeaver (SLD Registration) y ABAP Platform (SLD Registration), versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KERNEL desde 7.21 hasta 7.22, 7.45 y 7.49
  • SAP BASIS, versiones desde la 7.00 hasta la 7.02, desde 7.10 hasta la 7.30, 7.31, 7.40 y desde la 7.50 hasta la 7.53
  • SAP NetWeaver Process Integration (Runtime Workbench y Messaging System), versiones desde la 7.10 hasta la 7.11 ambas incluidas, 7.31, 7.40 y 7.50
  • SAP HANA, versiones 1.0 y 2.0
  • AP Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0 y Bank/CFM 4.63_20
Description: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solution: 
  • Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detail: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 3 actualizaciones, siendo 1 de ellas de severidad crítica, 2 alta y 6 de criticidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de falta de verificación de autorización.
  • 3 vulnerabilidades de revelación de información.
  • 2 vulnerabilidades XML External Entity (XXE).
  • 2 vulnerabilidades de otro tipo.

La actualización de seguridad calificada como crítica se refiere a:

  • El navegador Chromium que incluye Sap Business Client contiene múltiples vulnerabilidades que SAP ha solucionado en esta actualización.

Las notas de seguridad calificadas como altas se refieren a:

  • SAP Crystal Reports contiene una vulnerabilidad de revelación de información, un atacante podría revelar información adicional (datos del sistema, información de depuración, etc.), que le ayudaría a conocer el sistema y a planificar nuevos ataques. Se ha reservado el identificador CVE-2019-0285 para esta vulnerabilidad.
  • AP NetWeaver Java Application Server tiene una vulnerabilidad de suplantación, un atacante podría mostrar al usuario datos ilegibles, cambiar la dirección del remitente, los datos mostrados en una página y otra información importante. Se ha reservado el identificador CVE-2019-0283 para esta vulnerabilidad.

Los identificadores del resto de vulnerabilidades son: CVE-2019-0265, CVE-2019-0279, CVE-2019-0282, CVE-2019-0284, CVE-2019-0278 y CVE-2018-2484.

Encuesta valoración

Vulnerabilidad de escalada de privilegios en Media SDK de Intel

Publication date: 
04/10/2019
Importance: 
4 - Alta
Affected resources: 
  • Intel® Media SDK, versiones anteriores a 2018 R2.1
Description: 

Intel ha descubierto una vulnerabilidad en su producto Intel® Media SDK que podría permitir una escalada de privilegios.

Solution: 
  • Intel recomienda actualizar el producto afectado a la versión 2018 R2.1 o superior desde su centro de descarga.
Detail: 
  • La utilización de permisos de directorio incorrectos en el instalador del producto Intel(R) Media SDK, en versiones anteriores a 2018 R2.1, podría permitir que un usuario autenticado habilite la escalada de privilegios a través del acceso local. Se ha reservado el identificador CVE-2018-18094 para esta vulnerabilidad.

Encuesta valoración

Actualización de seguridad de Joomla! 3.9.5

Publication date: 
04/10/2019
Importance: 
4 - Alta
Affected resources: 
  • Joomla! CMS, versiones desde 1.5.0 hasta 3.9.4
Description: 

Joomla! ha publicado una nueva versión que soluciona tres vulnerabilidades en su núcleo, 1 de criticidad alta, 1 de criticidad media y otra de criticidad baja. Estas vulnerabilidades son del tipo violación del control de acceso,Cross-site scripting (XSS) y salto de directorio.

Solution: 
  • Actualizar a la versión 3.9.5.
Detail: 
  • La vulnerabilidad de criticidad alta se corresponde con una violación de las listas de control de acceso (ACL). Un atacante sin autenticación, podría realizar peticiones no autorizadas al aprovechar una fallo en la comprobación de acceso en el endpoint "refresh list of helpsites" de com_users. Se ha reservado el identificador CVE-2019-10946 para esta vulnerabilidad.
  • A la vulnerabilidad de criticidad media no se le ha asignado identificador, ya que se encuentra pendiente de anunciar.
  • A la vulnerabilidad de criticidad baja se le ha reservado el identificador CVE-2019-10945.

Encuesta valoración

Múltiples vulnerabilidades en BigFix Platform de IBM

Publication date: 
04/10/2019
Importance: 
5 - Crítica
Affected resources: 
  • IBM BigFix Platform, desde la versión 9.5 hasta la 9.5.11
Description: 

IBM ha publicado un boletín de seguridad que incluye múltiples vulnerabilidades en librerías OpenSSL, Query y YUI utilizadas por BigFix, y una vulnerabilidad crítica específica que podría permitir cargas no autorizadas en el sistema.

Solution: 
  • Aplicar el parche de actualización 9.5.12.
  • Ejecutar el Fixlet de actualización asociado en la consola.
Detail: 
  • IBM BigFix Platform podría permitir a un usuario autenticado subir un archivo al servidor con privilegios elevados, esto podría resultar en una ejecución no autorizada en el sistema subyacente. Se ha reservado el identificador CVE-2019-4013 para esta vulnerabilidad.
  • El resto de vulnerabilidades son del tipo Simultaneous Multi-Threading (SMT) y cross-site scripting (XSS). Se han asignado los identificadores CVE-2018-5407, CVE-2012-5883, CVE-2012-6708 y CVE-2015-9251 para estas vulnerabilidades.

Encuesta valoración

Vulnerabilidad en la autenticación en ActiveMatrix BusinessWorks de TIBCO

Publication date: 
04/10/2019
Importance: 
5 - Crítica
Affected resources: 
  • TIBCO ActiveMatrix BusinessWorks, versiones 6.4.2 y anteriores.
Description: 

El componente HTTP Connector de BusinessWork contiene una vulnerabilidad que permite que un cliente HTTP malintencionado ejecute con éxito las solicitudes HTTP sin autenticarse cuando se utiliza la autenticación básica con XML.

Solution: 
  • Actualizar a versiones 6.5.0 o superiores.
Detail: 
  • El componente HTTP Connector contiene una vulnerabilidad que permite que las solicitudes HTTP de usuarios no autenticados sean procesadas por BusinessWorks, incluso cuando se requiere la autenticación. Esto sólo es posible cuando la política de autenticación básica de HTTP se usa junto con XML. BusinessWorks podría utilizar credenciales de una solicitud HTTP anterior con fines de autorización. Se ha asignado el identificador CVE-2019-8990 para esta vulnerabilidad.

Encuesta valoraciĂ³n

Boletín de seguridad de Microsoft de abril de 2019

Publication date: 
04/10/2019
Importance: 
5 - Crítica
Affected resources: 
  • Microsoft Windows
  • Microsoft Edge
  • Internet Explorer
  • Azure
  • Microsoft Exchange
  • Team Foundation Server
  • Open Enclave SDK
  • ASP .NET
Description: 

La publicación de actualizaciones de seguridad de Microsoft de este mes consta de 75 vulnerabilidades, 16 clasificadas como críticas y 59 como importantes.

Solution: 
Detail: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • manipulación,
  • suplantación,
  • denegación de servicio.

Encuesta valoración