Cinco nuevos avisos de seguridad
Índice
- Actualizaciones de seguridad de Microsoft de mayo de 2024
- Múltiples vulnerabilidades en productos de VMware
- Actualización de seguridad de SAP de mayo de 2024
- Múltiples vulnerabilidades en Access Points de HPE Aruba
- Múltiples vulnerabilidades en Neural Compressor de Intel
Actualizaciones de seguridad de Microsoft de mayo de 2024
- Windows Task Scheduler,
- Microsoft Windows SCSI Class System File,
- Windows Common Log File System Driver,
- Windows Mobile Broadband,
- Microsoft WDAC OLE DB proveedor de SQL,
- Microsoft Brokering File System,
- Windows DWM Core Library,
- Windows Routing y Remote Access Service (RRAS),
- Windows Hyper-V,
- Windows Cryptographic Services,
- Windows Kernel,
- Windows DHCP Server,
- Windows NTFS,
- Windows Win32K - ICOMP,
- Windows Win32K - GRFX,
- Windows CNG Key Isolation Service,
- Microsoft Windows Search Component,
- Windows Cloud Files Mini Filter Driver,
- Windows Deployment Services,
- Windows Remote Access Connection Manager,
- Windows MSHTML Platform,
- Microsoft Bing,
- Microsoft Office Excel,
- Microsoft Office SharePoint,
- .NET and Visual Studio,
- Visual Studio,
- Microsoft Dynamics 365 Customer Insights,
- Windows Mark of the Web (MOTW),
- Azure Migrate,
- Power BI,
- Microsoft Edge (basado en Chromium),
- Microsoft Intune.
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 14 de mayo, consta de 60 vulnerabilidades (con CVE asignado), calificada 1 como crítica que afecta a Microsoft SharePoint Server, y el resto divididas entre severidades importantes, moderadas y bajas.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- escalada de privilegios,
- ejecución remota de código,
- denegación de servicio,
- divulgación de información,
- omisión de comprobación de seguridad,
- spoofing.
La vulnerabilidad crítica afecta a Microsoft SharePoint Server y consiste en una ejecución remota de código (CVE-2024-30044).
Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.
Múltiples vulnerabilidades en productos de VMware
- VMware Workstation Pro / Player (Workstation), versiones 17.x hasta la anterior a 17.5.2;
- VMware Fusion, versiones 13.x hasta la anterior a 13.5.2.
Múltiples investigadores han reportado 4 vulnerabilidades, 1 de severidad crítica y 3 de severidad alta, cuya explotación podría permitir a un atacante ejecutar código, crear una condición de denegación de servicio (DoS) o acceder a información sensible.
Para corregir las vulnerabilidades, el fabricante recomienda actualizar a las siguientes versiones:
- VMware Workstation Pro / Player (Workstation), versión 17.5.2;
- VMware Fusion, versión 13.5.2.
VMware Workstation y Fusion contienen una vulnerabilidad de uso después de la liberación en el dispositivo vbluetooth. Un actor malicioso con privilegios administrativos locales en una máquina virtual podría explotar esta vulnerabilidad para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. Se ha asignado el identificador CVE-2024-22267 para esta vulnerabilidad de severidad crítica.
Para las vulnerabilidades de severidad alta, se han asignado los identificadores CVE-2024-22268, CVE-2024-22269 y CVE-2024-22270.
Actualización de seguridad de SAP de mayo de 2024
- SAP Commerce, versión HY_COM 2205;
- SAP NetWeaver Application Server ABAP y ABAP Platform, versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 y SAP_BASIS 758.
El resto de productos afectados por vulnerabilidades, cuya severidad no es crítica, pueden consultarse en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad: 2 de severidad crítica, 1 de severidad alta, 8 de severidad media y 3 bajas. También se han actualizado 3 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es crítica, son:
- inicialización incorrecta;
- carga de archivos.
CVE-2019-17495: vulnerabilidad de inyección de Cascading Style Sheets (CSS) en Swagger UI, cuya explotación podría permitir a los atacantes realizar una exfiltración de valores de campos de entrada basados en CSS, como la exfiltración de un valor de token CSRF.
CVE-2024-33006: un atacante no autenticado puede subir un archivo malicioso al servidor que, cuando es accedido por una víctima, podría permitir al atacante comprometer completamente el sistema.
Múltiples vulnerabilidades en Access Points de HPE Aruba
Las siguientes versiones de software de HPE Aruba Networking - Access Points con InstantOS y ArubaOS 10 están afectadas:
- ArubaOS 10.5.x.x: versiones 10.5.1.0 y anteriores.
- ArubaOS 10.4.x.x: versiones 10.4.1.0 y anteriores.
- InstantOS 8.11.x.x: versiones 8.11.2.1 y anteriores.
- InstantOS 8.10.x.x: versiones 8.10.0.10 y anteriores.
- InstantOS 8.6.x.x: versiones 8.6.0.23 y anteriores.
Las siguientes versiones de software que han finalizado su mantenimiento también se ven afectadas por estas vulnerabilidades:
- ArubaOS 10.3.x.x, todas las versiones.
- InstantOS 8.9.x.x, todas las versiones.
- InstantOS 8.8.x.x, todas las versiones.
- InstantOS 8.7.x.x, todas las versiones.
- InstantOS 8.5.x.x, todas las versiones.
- InstantOS 8.4.x.x, todas las versiones.
- InstantOS 6.5.x.x, todas las versiones.
- InstantOS 6.4.x.x, todas las versiones.
HPE ha publicado 18 vulnerabilidades: 8 de severidad crítica, 4 de severidad alta y 6 medias, que podrían dar lugar a un desbordamiento de búfer, inyección de comandos, eliminación arbitraria de archivos, provocar una condición de denegación de servicio (DoS) o una divulgación de información sensible.
HPE Aruba Networking ha lanzado parches para Access Points que abordan múltiples vulnerabilidades de seguridad.
Las vulnerabilidades de severidad crítica son de tipo desbordamiento de búfer e inyección de comandos, y su explotación podría dar lugar a una ejecución de código no autenticado mediante el envío de paquetes especialmente diseñados.
Se han asignado los identificadores CVE-2024-31466, CVE-2024-31467, CVE-2024-31468, CVE-2024-31469, CVE-2024-31470, CVE-2024-31471, CVE-2024-31472 y CVE-2024-31473 para estas vulnerabilidades.
El resto de identificadores asignados para las vulnerabilidades de severidad no crítica pueden consultarse en las referencias.
Múltiples vulnerabilidades en Neural Compressor de Intel
- Software Intel Neural Compressor anterior a la versión 2.5.0.
Intel ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad media, que podrían permitir a un atacante realizar una elevación de privilegios o una divulgación de información.
Intel recomienda actualizar el software Intel Neural Compressor a la versión 2.5.0 o posterior.
Una validación de entrada incorrecta en algunos programas Intel Neural Compressor, anteriores a la versión 2.5.0, podría permitir que un usuario, no autenticado, habilite potencialmente una escalada de privilegios mediante acceso remoto. Se ha asignado el identificador CVE-2024-22476 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2024-21792.