Home / Node / Boletín de INCIBE-CERT del 11-12-2019

Boletín de INCIBE-CERT del 11-12-2019

Vulnerabilidades en múltiples productos de Intel

Publication date: 
12/11/2019
Importance: 
4 - Alta
Affected resources: 
  • Herramientas Administrativas de Linux para Intel(R) Network Adapters, versiones anteriores a la 24.3.
  • Las generaciones de procesadores Intel Core 6ª, 7ª, 8ª, 9ª y 10ª.
  • Procesadores Intel Xeon de las familias:
    • E3 v5 y v6,
    • E-2100,
    • E-2200.
  • Intel NUC 8:
    • Mainstream Game Kit,
    • Mainstream Game Mini Computer,
    • Home - NUC8i3CYSM.
  • Intel NUC Kit:
    • NUC8i7BEK,
    • NUC8i7HNK,
    • NUC7i7DNKE,
    • NUC7i5DNKE,
    • NUC7i3DNHE,
    • NUC6i7KYK,
    • NUC6i5SYH,
    • NUC7CJYH,
    • NUC6CAYS.
  • Intel Compute Card:
    • CD1P64GK,
    • CD1M3128MK,
    • CD1IV128MK.
  • Intel Compute Stick:
    • STK2mv64CC,
    • STK2m3W64CC.
  • Intel NUC Board:
    • DE3815TYBE,
    • D34010WYB.
Description: 

Intel ha descubierto siete vulnerabilidades de criticidad alta en múltiples productos. Un atacante local podría realizar una escalada de privilegios o revelar información sensible.

Solution: 
  • Para Herramientas Administrativas de Linux para Intel(R) Network Adapters, actualizar a la versión 24.3 o posterior.
  • Para las familias de procesadores afectados, Intel recomienda actualizar la BIOS a la última versión disponible.
  • Para las familias de Intel NUC, actualizar a la última versión del firmware disponible. Para más información, puede acceder a la sección de «Referencias».
Detail: 
  • Una protección insuficiente de la memoria en las Herramientas Administrativas de Linux para Intel(R) Network Adapters podría permitir a un atacante local, autenticado, realizar una escalada de privilegios. Se ha reservado el identificador CVE-2019-0159 para esta vulnerabilidad.
  • Debido a unas comprobaciones inadecuadas de los ajustes de voltaje en varios procesadores Intel, podrían permitir a un atacante local, autenticado, realizar una escalada de privilegios o revelar información. Se ha reservado el identificador CVE-2019-11157 para esta vulnerabilidad.
  • Vulnerabilidades de Intel NUC:
    • Restricciones del búfer indebidas podrían permitir a un atacante local, no autenticado, realizar una escalada de privilegios. Se ha reservado el identificador CVE-2019-14608 para esta vulnerabilidad.
    • Un control de acceso indebido podría permitir a un atacante local, no autenticado, realizar una escalada de privilegios. Se ha reservado el identificador CVE-2019-14610 para esta vulnerabilidad.
    • Una validación de parámetros de entrada indebida podría permitir a un atacante local, con privilegios, realizar una escalada de privilegios. Se ha reservado el identificador CVE-2019-14609 para esta vulnerabilidad.
    • Un desbordamiento de enteros podría permitir a un atacante local, con privilegios, realizar una escalada de privilegios. Se ha reservado el identificador CVE-2019-14611 para esta vulnerabilidad.
    • Una escritura fuera de límites podría permitir a un atacante local, con privilegios, realizar una escalada de privilegios. Se ha reservado el identificador CVE-2019-14612 para esta vulnerabilidad.

Encuesta valoración

Boletín de seguridad de Microsoft de diciembre de 2019

Publication date: 
12/11/2019
Importance: 
5 - Crítica
Affected resources: 
  • Microsoft Windows,
  • Internet Explorer,
  • Microsoft Office, Microsoft Office Services y Web Apps,
  • SQL Server,
  • Visual Studio,
  • Skype for Business.
Description: 

La publicación de actualizaciones de seguridad de Microsoft correspondiente al mes de diciembre consta de 35 vulnerabilidades, 7 clasificadas como críticas y 28 como importantes.

Solution: 

Instalar la actualización de seguridad correspondiente. En la página de información de la instalación de las mismas actualizaciones, se informa de los distintos métodos para llevarlas a cabo.

Detail: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • divulgación de información,
  • escalada de privilegios,
  • denegación de servicio,
  • ejecución remota de código,
  • omisión de característica de seguridad,
  • suplantación de identidad.

Encuesta valoración

Actualización de seguridad de SAP de diciembre de 2019

Publication date: 
12/11/2019
Importance: 
5 - Crítica
Affected resources: 
  • SAP Business Client, versión 6.5;
  • SAP Adaptive Server Enterprise, versiones 15.7 y 16.0;
  • SAP BusinessObjects Business Intelligence Platform (Fiori BI Launchpad), versión 4.2;
  • SAP ERP HCM (SAP_HRCES), versión 3;
  • SAP Enable Now, versión 1911;
  • SAP Portfolio and Project Management, versiones S4CORE 102, 103, EPPM 100, CPRXRPM 500_702, 600_740 y 610_740;
  • SAP BusinessObjects Business Intelligence Platform (Monitoring Application), versiones 4.1, 4.2 y 4.3.
Description: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solution: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detail: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 1 actualización, siendo 1 de ellas de severidad crítica y 6 medias.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 1 vulnerabilidad de falta de comprobación de autorización;
  • 4 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de CSRF (Cross-Site Request Forgery);
  • 1 vulnerabilidad de XSS (Cross-Site Scripting);
  • 2 vulnerabilidades de otro tipo.

La nota de seguridad más destacada se refiere a:

  • SAP ha publicado la actualización de la versión compatible de Google Chromium para SAP Business Client, aunque la versión soportada todavía no soluciona las vulnerabilidades CVE-2019-13720 y CVE-2019-13721 publicadas por Google. Además, en el caso de que la vulnerabilidad CVE-2019-13720 estuviese siendo explotada, los sistemas SAP podrían verse afectados indirectamente a través de equipos cliente infectados conectados a la misma red. La próxima actualización podría mitigar sus efectos.

Para el resto de vulnerabilidades, se han reservado los siguientes identificadores: CVE-2019-0402, CVE-2019-0395, CVE-2019-0405, CVE-2019-0403, CVE-2019-0404, CVE-2019-0399 y CVE-2019-0398. El identificador CVE-2019-0325 está reservado.

Encuesta valoración

Vulnerabilidad en Spectrum Scale de IBM

Publication date: 
12/11/2019
Importance: 
4 - Alta
Affected resources: 

IBM Spectrum Scale, versiones 5.0.0.0 - 5.0.4.0 y 4.2.0.0 - 4.2.3.18.

Description: 

IBM ha identificado una vulnerabilidad de seguridad en IBM Spectrum Scale que podría permitir a un atacante remoto autenticado, ejecutar comandos arbitrarios en el sistema.

Solution: 

Aplicar las actualizaciones a la versión 5.0.4.1 o 4.2.3.19.

Detail: 

Mediante el envío de una solicitud, especialmente diseñada, un atacante podría ejecutar comandos arbitrarios en el sistema. Se ha reservado el identificador CVE-2019-4715 para esta vulnerabilidad.

Encuesta valoración