Home / Node / Boletín de INCIBE-CERT del 09-09-2020

Boletín de INCIBE-CERT del 09-09-2020

Boletín de seguridad de Microsoft de septiembre de 2020

Publication date: 
09/09/2020
Importance: 
5 - Crítica
Affected resources: 
  • Microsoft Windows,
  • Microsoft Edge (EdgeHTML-based),
  • Microsoft Edge (Chromium-based),
  • Microsoft ChakraCore,
  • Internet Explorer,
  • SQL Server,
  • Microsoft JET Database Engine,
  • Microsoft Office and Microsoft Office Services and Web Apps,
  • Microsoft Dynamics,
  • Visual Studio,
  • Microsoft Exchange Server,
  • SQL Server,
  • ASP.NET,
  • Microsoft OneDrive,
  • Azure DevOps.
Description: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de septiembre, consta de 127 vulnerabilidades, 23 clasificadas como críticas y 104 como importantes.

Solution: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detail: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • elusión de las medidas de seguridad,
  • suplantación de identidad (spoofing),
  • manipulación (tampering).

[Actualización 10/09/2020]: Cabe destacar la vulnerabilidad en Microsoft Exchange server debida a una inadecuada validación de argumentos cmdlet, que podría permitir a un atacante autenticado, con rol Exchange específico, ejecutar código arbitrario en el contexto del usuario System, resultando en el compromiso total del servidor exchange. Se ha asignado el identificador CVE-2020-16875 para esta vulnerabilidad.

Encuesta valoración

Actualización de seguridad de SAP de septiembre de 2020

Publication date: 
09/08/2020
Importance: 
5 - Crítica
Affected resources: 
  • SAP Solution Manager (User Experience Monitoring), versión 7.2;
  • SAP Business Client, versión 6.5;
  • SAP Marketing (Mobile Channel Servlet), versiones 130, 140 y 150;
  • SAP NetWeaver (ABAP Server) and ABAP Platform, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 y 755;
  • SAP Netweaver AS ABAP, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 y 754;
  • BANKING SERVICES FROM SAP 9.0 (Bank Analyzer), versión 500;
  • S/4HANA FIN PROD SUBLDGR, versión 100;
  • SAP Commerce, versiones 6.7, 1808, 1811, 1905 y 2005;
  • SAP NetWeaver AS ABAP (BSP Test Application), versiones 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754 y755;
  • SAPUI5 (UISAPUI5_JAVA), versión 7.50;
  • SAPUI5 (SAP_UI), versiones 750, 751, 752, 753, 754 y 755;
  • SAPUI5 (UI_700), versión 200;
  • SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP Business Objects Business Intelligence Platform (BI Workspace), versiones 4.1 y 4.2;
  • SAPFiori (Launchpad), versiones 750, 752, 753, 754 y 755;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP Adaptive Server Enterprise, versiones 15.7, 16.0.
Description: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solution: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detail: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 6 actualizaciones, siendo 4 de ellas de severidad crítica, 2 altas, 9 medias y 1 baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de inyección de código,
  • 7 vulnerabilidades de Cross-Site Scripting,
  • 1 vulnerabilidad de control de acceso inadecuado,
  • 1 vulnerabilidad de falta de comprobación de autorización,
  • 38 vulnerabilidades de inadecuada validación de los datos de entrada;
  • 1 vulnerabilidad de falta de comprobación de autenticación,
  • 6 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • Vulnerabilidad en Mobile Channel Servlet podría permitir a un atacante autentificado invocar ciertas funciones que están restringidas para realizar tareas relacionadas con los datos de contacto e interacción. Se ha asignado el identificador CVE-2020-6320 para esta vulnerabilidad.
  • Vulnerabilidad de inyección de código en las plataformas SAP NetWeaver AS ABAP y SAP ABAP podrían permitir a un atacante tomar el control completo de la aplicación, incluyendo la visualización, modificación o eliminación de datos mediante la inyección de código en la zona de memoria que posteriormente es ejecutada por la aplicación. También se puede utilizar para causar un fallo general en la aplicación que provoque su finalización. Se ha asignado el identificador CVE-2020-6318 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-6207, CVE-2020-6296, CVE-2020-6275, CVE-2020-6311, CVE-2020-6302, CVE-2020-6324, CVE-2020-11022, CVE-2020-11023, CVE-2020-6282, CVE-2020-6326, CVE-2020-6313, CVE-2020-6325, CVE-2020-6312, CVE-2020-6288, CVE-2020-6283, CVE-2020-6322, CVE-2020-6327, CVE-2020-6330, CVE-2020-6333, CVE-2020-6346, CVE-2020-6350, CVE-2020-6339, CVE-2020-6356, CVE-2020-6360, CVE-2020-6361, CVE-2020-6328, CVE-2020-6341, CVE-2020-6343, CVE-2020-6351, CVE-2020-6352, CVE-2020-6358, CVE-2020-6348, CVE-2020-6349, CVE-2020-6347, CVE-2020-6337, CVE-2020-6331, CVE-2020-6332, CVE-2020-6335, CVE-2020-6314, CVE-2020-6359, CVE-2020-6344, CVE-2020-6340, CVE-2020-6336, CVE-2020-6338, CVE-2020-6334, CVE-2020-6353, CVE-2020-6329, CVE-2020-6354, CVE-2020-6345, CVE-2020-6355, CVE-2020-6342, CVE-2020-6321, CVE-2020-6357 y CVE-2020-6317.

Encuesta valoración