Tres nuevos avisos de seguridad
Múltiples vulnerabilidades en BIND 9
- Versiones de BIND:
- desde 9.0.0 hasta 9.16.46;
- desde 9.16.0 hasta 9.16.45;
- desde 9.12.0 hasta 9.16.45;
- desde 9.18.0 hasta 9.18.22;
- desde 9.19.0 hasta 9.19.20.
- Versiones de BIND Supported Preview Edition:
- desde 9.9.3-S1 hasta 9.16.46-S1;
- desde 9.16.8-S1 hasta 9.16.45-S1;
- desde 9.18.11-S1 hasta 9.18.22-S1.
ICS BIND ha notificado 6 vulnerabilidades de severidad alta que afectan a BIND 9. Un atacante podría explotar estas vulnerabilidades para provocar una denegación de servicio.
- Versiones de BIND:
- 9.16.48;
- 9.18.24;
- 9.19.21.
- Versiones de BIND Supported Preview Edition:
- 9.16.48-S1;
- 9.18.24-S1.
- El procesamiento de respuestas procedentes de zonas firmadas con DNSSEC mediante NSEC3 podría provocar el agotamiento de la CPU en un resolver que valide DNSSEC. Se ha asignado el identificador CVE-2023-50868 para esta vulnerabilidad.
- El procesamiento de respuestas procedentes de zonas firmadas con DNSSEC especialmente diseñadas podría provocar el agotamiento de la CPU en un resolver que valide DNSSEC. Se ha asignado el identificador CVE-2023-50387 para esta vulnerabilidad (apodada KeyTrap).
- Un atacante podría causar que la cantidad de memoria utilizada por un resolver "named" desbordase el límite "max-cache-size" configurado. Se ha asignado el identificador CVE-2023-6516 para esta vulnerabilidad.
- Una mala interacción entre DNS64 y serve-stale podría causar el bloqueo de "named" con un fallo de aserción durante la resolución recursiva, cuando ambas funciones están activadas. Se ha asignado el identificador CVE-2023-5679 para esta vulnerabilidad.
- Esta vulnerabilidad podría provocar un fallo en "named" cuando "nxdomain-redirect <domain>" está configurado y el resolver recibe una consulta PTR para una dirección RFC 1918 que normalmente daría lugar a una respuesta NXDOMAIN autoritativa. Se ha asignado el identificador CVE-2023-5517 para esta vulnerabilidad.
- Las consultas y respuestas falsificadas podrían provocar una carga excesiva de la CPU en la instancia "named" afectada si se explota esta vulnerabilidad. Se ha asignado el identificador CVE-2023-4408 para esta vulnerabilidad.
Actualización de seguridad de SAP de febrero de 2024
- SAP ABA (Application Basis), versiones: 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75I.
- SAP NetWeaver AS Java (User Admin Application), versión 7.50.
- SAP CRM WebClient UI, versiones: S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, S4FND 108, WEBCUIF 700, WEBCUIF 701, WEBCUIF 730, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800, WEBCUIF 801.
- IDES Systems, todas las versiones.
El resto de productos afectados por vulnerabilidades, no críticas y altas, se pueden consultar en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 13 notas de seguridad, 1 de severidad crítica, 5 altas y 7 medias. También se han actualizado 3 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas, crítica y altas, publicadas son:
- Vulnerabilidad de inyección de código
- Vulnerabilidad de secuencias de comandos entre sitios (XSS)
- Vulnerabilidad XXE
- Validación de certificado incorrecta
La vulnerabilidad de severidad crítica CVE-2024-22131 implica que un atacante, autenticado como usuario con autorización de ejecución remota, puede utilizar una interfaz vulnerable. Esto le permite utilizar la interfaz para invocar una función de la aplicación para realizar acciones que normalmente no se le permitiría realizar. Dependiendo de la función ejecutada, el ataque puede leer o modificar cualquier dato del usuario/negocio y puede hacer que todo el sistema no esté disponible.
Actualizaciones de seguridad de Microsoft de febrero de 2024
- .NET
- Azure Active Directory
- Azure Connected Machine Agent
- Azure DevOps
- Azure File Sync
- Azure Site Recovery
- Azure Stack
- Internet Shortcut Files
- Microsoft ActiveX
- Microsoft Azure Kubernetes Service
- Microsoft Defender for Endpoint
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office OneNote
- Microsoft Office Outlook
- Microsoft Office Word
- Microsoft Teams for Android
- Microsoft WDAC ODBC Driver
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows
- Microsoft Windows DNS
- Role: DNS Server
- Skype for Business
- SQL Server
- Trusted Compute Base
- Windows Hyper-V
- Windows Internet Connection Sharing (ICS)
- Windows Kernel
- Windows LDAP - Lightweight Directory Access Protocol
- Windows Message Queuing
- Windows OLE
- Windows SmartScreen
- Windows USB Serial Driver
- Windows Win32K - ICOMP
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 14 de febrero, consta de 73 vulnerabilidades (con CVE asignado), calificadas 6 como críticas, 52 como importantes, 13 como medias, y 2 como bajas.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- denegación de servicio,
- elevación de privilegios,
- divulgación de información,
- ejecución remota de código,
- suplantación de identidad (spoofing).
Los códigos CVE asignados a las vulnerabilidades reportadas pueden consultarse en las referencias.