Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Actualización de seguridad de SAP de octubre de 2024

Fecha08/10/2024
Importancia5 - Crítica
Recursos Afectados
  • SAP Commerce Backoffice;
  • SAP NetWeaver AS for Java;
  • SAP NetWeaver BW (BEx Analyzer);
  • SAP NetWeaver Enterprise Portal (KMC);
  • SAP NetWeaver Application Server for ABAP and ABAP Platform;
  • SAP PDCE;
  • SAP HANA Client;
  • SAP S/4 HANA (Manage Bank Statements);
  • SAP Student Life Cycle Management (SLcM);
  • SAP BusinessObjects Business Intelligence Platform;
  • SAP Enterprise Project Connection.
Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad: 2 de severidad alta y 4 de severidad media. También se han actualizado 6 notas de seguridad: una de ellas crítica de meses anteriores, otra alta y el resto medias.

Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es alta, son:

  • SAP Enterprise Project Connection emplea JMSSink, que es vulnerable a la deserialización de datos no confiables cuando el atacante tiene acceso de escritura a la configuración en todas las versiones de Log4j 1.x o si la configuración hace referencia a un servicio LDAP al que el atacante tiene acceso. El atacante puede proporcionar una configuración TopicConnectionFactoryBindingName, haciendo que JMSSink realice peticiones JNDI que resulten en la ejecución remota de código. Se ha asignado el identificador CVE-2022-23302 para esta vulnerabilidad.
  • SAP BusinessObjects Business Intelligence Platform permite que un usuario autenticado envíe una solicitud especialmente diseñada a Web Intelligence Reporting Server para descargar cualquier archivo de la máquina que aloja el servicio, lo que provoca un alto impacto en la confidencialidad de la aplicación. Se ha asignado el identificador CVE-2024-37179 para esta vulnerabilidad.

Boletín de seguridad de Qualcomm Technologies - octubre de 2024

Fecha08/10/2024
Importancia5 - Crítica
Recursos Afectados

Conjuntos de chips que se pueden ver en el aviso oficial enlazado en la sección de referencias.

Los afectados por la vulnerabilidad de severidad crítica son modelos de las siguientes familias:

  • CSR, 
  • Immersive Home Platform, 
  • IPQ,
  • QCA,
  • QCF,
  • QCN, 
  • QXM,
  • SDX,
  • Snapdragon.
Descripción

Qualcomm ha publicado en su boletín de seguridad varias vulnerabilidades. Entre ellas, las que afectan a componentes del sistema se clasifican en: 1 de severidad crítica, 2 altas y 2 medias, que podrían permitir a un atacante ejecución remota de código.

También ha publicado varias vulnerabilidades que afectan a la seguridad de productos implementados con código abierto.

Solución

Instalar los parches facilitados por el fabricante.

Detalle

La vulnerabilidad crítica que afecta al Administrador de recursos WLAN podría permitir a los atacantes ejecutar código malicioso de forma remota, lo que podría llevar a una toma de control total del dispositivo. Este fallo, que se origina debido a una validación de entrada incorrecta, permite la corrupción de la memoria al redirigir los archivos de registro a ubicaciones arbitrarias. Se ha asignado el identificador CVE-2024-33066 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta que afectan al software del propietario se han asignado los identificadores CVE-2024-23369 y CVE-2024-33065.

Nota: el Grupo de análisis de amenazas de Google ha indicado que la vulnerabilidad CVE-2024-43047 podría estar bajo explotación limitada y dirigida.

El resto de vulnerabilidades se pueden ver en el aviso oficial.