Home / Node / Boletín de INCIBE-CERT del 11-08-2021

Boletín de INCIBE-CERT del 11-08-2021

Actualización de seguridad de SAP de agosto de 2021

Publication date: 
08/11/2021
Importance: 
5 - Crítica
Affected resources: 
  • SAP Business One, versión 10.0;
  • SAP BusinessObjects Business Intelligence Platform (Crystal Report, SAPUI5), versiones 420 y 430;
  • SAP S/4HANA, versiones SAPSCORE 125, S4CORE 102, 102, 103, 104 y 105;
  • SAP NetWeaver Enterprise Portal (Application Extensions), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Development Infrastructure (Component Build Service), versiones 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Development Infrastructure (Notification Service), versiones 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS ABAP and ABAP Platform (SRM_RFC_SUBMIT_REPORT), versiones 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 y 755  ;
  • SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP Fiori Client Native Mobile para Android, versión 3.2;
  • SAP Cloud Connector, versión 2.0;
  • DMIS Mobile Plug-In, versiones DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752 y 2020.
Description: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual correspondiente al mes de agosto de 2021.

Solution: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detail: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad y 1 actualización de notas anteriores, siendo 3 de severidad crítica, 5 de severidad alta y 7 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidades de XSS (Cross-Site Scripting);
  • 2 vulnerabilidades de SSRF (Server-Side Request Forgery);
  • 3 vulnerabilidades de falta de comprobación de autenticación;
  • 2 vulnerabilidades de inyección de código;
  • 1 vulnerabilidad de inyección SQL;
  • 1 vulnerabilidad de subida no restringida de archivo;
  • 1 vulnerabilidad de redirección URL;
  • 3 vulnerabilidades de otro tipo.

Las nuevas notas de seguridad más destacadas se refieren a:

  • SAP Business One: se ha corregido una vulnerabilidad de subida no restringida de archivos que podría permitir a un atacante cargar archivos, incluidos archivos de script, en el servidor. Se le ha asignado el identificador CVE-2021-33698 a esta vulnerabilidad.
  • SAP NetWeaver (SAP NWDI): se ha corregido una vulnerabilidad de SSRF que podría permitir a un atacante realizar ataques proxy mediante el envío de consultas falsificadas. Se le ha asignado el identificador CVE-2021-33690 a esta vulnerabilidad.
  • Near Zero Downtime (NZDT): Se corrige una vulnerabilidad de inyección SQL. Se le ha asignado el identificador CVE-2021-33701 a esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33702, CVE-2021-33703, CVE-2021-33705, CVE-2021-33699, CVE-2021-33700, CVE-2021-33691, CVE-2021-33695, CVE-2021-33704, CVE-2021-21473, CVE-2021-33707, CVE-2021-33696 y CVE-2021-33697.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de agosto de 2021

Publication date: 
08/11/2021
Importance: 
5 - Crítica
Affected resources: 
  • .NET Core & Visual Studio;
  • ASP .NET;
  • Azure;
  • Azure Sphere;
  • Microsoft Azure Active Directory Connect;
  • Microsoft Dynamics;
  • Microsoft Graphics Component;
  • Microsoft Office;
  • Microsoft Office SharePoint;
  • Microsoft Office Word;
  • Microsoft Scripting Engine;
  • Microsoft Windows Codecs Library;
  • Remote Desktop Client;
  • Windows Bluetooth Service;
  • Windows Cryptographic Services;
  • Windows Defender;
  • Windows Event Tracing;
  • Windows Media;
  • Windows MSHTML Platform;
  • Windows NTLM;
  • Windows Print Spooler Components;
  • Windows Services for NFS ONCRPC XDR Driver;
  • Windows Storage Spaces Controller;
  • Windows TCP/IP;
  • Windows Update;
  • Windows Update Assistant;
  • Windows User Profile Service.
Description: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de agosto, consta de 44 vulnerabilidades, clasificadas 7 como críticas y 37 como importantes.

Solution: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detail: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • suplantación de identidad (spoofing).

Microsoft también ha corregido 3 vulnerabilidades 0-day con la siguiente casuística:

  • 2 vulnerabilidades divulgadas públicamente, pero no explotadas activamente: CVE-2021-36936 y CVE-2021-36942;
  • 1 vulnerabilidad explotada activamente: CVE-2021-36948.

Encuesta valoración

Múltiples vulnerabilidades en Dell PowerScale OneFS

Publication date: 
08/11/2021
Importance: 
4 - Alta
Affected resources: 

Dell EMC PowerScale OneFS, versiones 8.2.x, 9.0.0.x, 9.1.0.x, 9.2.0 y 9.2.1.x.

Description: 

Se han publicado múltiples vulnerabilidades en Dell PowerScale OneFS que podrían permitir a un atacante comprometer el sistema afectado.

Solution: 

Desde PowerScale Download Area:

  • para las versiones 8.2.x, 9.0.0.x y 9.2.0, actualizar la versión de OneFS;
  • para las versiones 8.2.2, 9.1.0.x y 9.2.1.x, instalar la última versión de RUP.
Detail: 

Las vulnerabilidades de severidad alta son:

  • Una vulnerabilidad en el uso del método de solicitud get, con cadenas de consulta sensibles, podría permitir a un atacante la divulgación de datos sensibles. Se ha asignado el identificador CVE-2021-21594 para esta vulnerabilidad.
  • La inserción de información sensible en los archivos de registro podría permitir a un atacante, con privilegios ISI_PRIV_LOGIN_SSH o ISI_PRIV_LOGIN_CONSOLE, acceder a información privilegiada. Se ha asignado el identificador CVE-2021-36278 para esta vulnerabilidad.
  • Una asignación inadecuada de permisos podría permitir a un atacante, con ISI_PRIV_LOGIN_SSH o ISI_PRIV_LOGIN_CONSOLE, acceder a información privilegiada sobre el clúster. Se han asignado los identificadores CVE-2021-36279 y CVE-2021-36280 para estas vulnerabilidades.
  • Una asignación inadecuada de permisos, podría permitir a un atacante, con pocos privilegios, la escalada de privilegios. Se ha asignado el identificador CVE-2021-36281 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-21595 y CVE-2021-21599.

Para el resto de vulnerabilidades de severidad baja se han asignado los identificadores CVE-2021-21568, CVE-2021-21592 y CVE-2021-36282.

Encuesta valoración

Ejecución remota de código en Analytics On-Prem de SonicWall

Publication date: 
08/11/2021
Importance: 
5 - Crítica
Affected resources: 

Analytics On-Prem, versión 2.5.2518 y anteriores.

Description: 

Se ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante la ejecución remota de código.

Solution: 

Actualizar a la versión 2.5.2519 u otra posterior.

Detail: 

La configuración incorrecta de la interfaz Java Debug Wire Protocol (JDWP) en el producto afectado podría permitir a un atacante no autenticado la ejecución remota de código arbitrario. Se ha asignado el identificador CVE-2021-20032 para esta vulnerabilidad.

Encuesta valoración