Tres nuevos avisos de seguridad
Actualizaciones de seguridad de Microsoft de junio de 2023
- .NET 6.0 y 7.0;
- Azure DevOps Server 2020.1.2, 2022 y 2022.0.1;
- Dynamics 365 para Finance y Operations;
- Microsoft .NET Framework 2.0 Service Pack 2, 3.0 Service Pack 2;
- Microsoft .NET Framework 3.5 y 4.6.2, 4.7, 4.7.1, 4.7.2;
- Microsoft .NET Framework 3.5, 3.5.1, 4.8, 4.8.1;
- Microsoft 365 Apps para Enterprise para 32-bit y 64-bit Systems;
- Microsoft Edge (Chromium-based);
- Microsoft Excel 2013 RT Service Pack 1(32-bit s y 64-bit s);
- Microsoft Excel 2016 (32-bit y 64-bit);
- Microsoft Exchange Server 2016 Cumulative Update 23;
- Microsoft Exchange Server 2019 Cumulative Update 12;
- Microsoft Exchange Server 2019 Cumulative Update 13;
- Microsoft Office 2019 para 32-bit s, 64-bit s, Mac;
- Microsoft Office LTSC 2021 para 32-bit s, 64-bit s y Mac 2021;
- Microsoft Office Online Server;
- Microsoft OneNote para Universal;
- Microsoft Outlook 2013 (32-bit s y 64-bit s);
- Microsoft Outlook 2013 RT Service Pack 1;
- Microsoft Outlook 2016 (32-bit);
- Microsoft Outlook 2016 (64-bit);
- Microsoft Power Apps;
- Microsoft SharePoint Enterprise Server 2016;
- Microsoft SharePoint Server 2019;
- Microsoft SharePoint Server Subscription;
- Microsoft Visual Studio 2013 Update 5;
- Microsoft Visual Studio 2015 Update 3;
- Microsoft Visual Studio 2017 versión 15.9 (incluidos 15.0 - 15.8);
- Microsoft Visual Studio 2019 versión 16.11 (incluidos 16.0 - 16.10);
- Microsoft Visual Studio 2022 versiones de 17.0 a 17.6;
- NuGet 6.0.4, 6.2.3, 6.3.2, 6.4.1, 6.5.0, 6.6.0;
- Remote Desktop client para Windows Desktop;
- Sysinternals Suite;
- Visual Studio Code;
- Windows 10 para 32-bit Systems y x64-based Systems;
- Windows 10 Versión 1607 para 32-bit Systems y x64-based Systems;
- Windows 10 Versión 1809 para 32-bit Systems, x64-based Systems y ARM64-based Systems;
- Windows 10 Versión 21H2 para 32-bit Systems, ARM64-based Systems y x64-based Systems;
- Windows 10 Versión 22H2 para 32-bit Systems, ARM64-based Systems y x64-based Systems;
- Windows 11 versión 21H2 para ARM64-based Systems y x64-based Systems;
- Windows 11 Versión 22H2 para ARM64-based Systems y x64-based Systems;
- Windows Server 2008 para 32-bit Systems Service Pack 2;
- Windows Server 2008 para 32-bit Systems Service Pack 2 (Server Core instalación);
- Windows Server 2008 para x64-based Systems Service Pack 2;
- Windows Server 2008 para x64-based Systems Service Pack 2 (Server Core instalación);
- Windows Server 2008 R2 para x64-based Systems Service Pack 1;
- Windows Server 2008 R2 para x64-based Systems Service Pack 1 (Server Core instalación);
- Windows Server 2012 y (Server Core instalación);
- Windows Server 2012 R2 y (Server Core instalación);
- Windows Server 2016 y (Server Core instalación);
- Windows Server 2019 y (Server Core instalación);
- Windows Server 2022 y (Server Core instalación);
- Windows Sysinternals Process Monitor;
- YARP 2.0.
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 13 de junio, consta de 78 vulnerabilidades (con CVE asignado), calificadas como: 6 de severidad crítica y 72 importantes.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- escalada de privilegios,
- ejecución remota de código,
- denegación de servicio.
Se han asignado los identificadores CVE-2023-24897, CVE-2023-29357, CVE-2023-32015, CVE-2023-32014, CVE-2023-32013 y CVE-2023-29363 para las vulnerabilidades críticas.
Control de acceso inadecuado en ShareFile de Citrix
ShareFile, versiones anteriores a 5.11.24.
Dylan Pindur, investigador de Assetnote, ha reportado una vulnerabilidad crítica que afecta al controlador de zonas de almacenamiento ShareFile gestionado por el cliente.
Actualizar ShareFile a la versión 5.11.24 o posteriores.
La explotación de esta vulnerabilidad podría permitir a un atacante, remoto y no autenticado, comprometer el producto afectado, aprovechando el fallo en el control de acceso al dispositivo. Se ha asignado el identificador CVE-2023-24489 para esta vulnerabilidad.
Actualización de seguridad de SAP de junio de 2023
- SAP UI5 Variant Management, versiones SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 y UI_700 200;
- SAP Plant Connectivity, versión 15.5;
- SAP NetWeaver, versión 7.50;
- SAP NetWeaver Enterprise Portal, versión 7.50;
- SAP CRM ABAP, versión 430;
- Master Data Synchronization, versiones SAP_APPL 600, 602, 603, 604, 605, 606 y 616;
- SAP NetWeaver, versiones 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 757.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad, siendo 2 de severidad alta y el resto medias y bajas.
Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:
- neutralización inadecuada de código,
- ausencia de autenticación.
La primera vulnerabilidad, de severidad alta, que afecta a SAP UI5 Variant Management, no codifica correctamente las entradas controladas por el usuario al leer datos del servidor. La explotación de esta vulnerabilidad podría permitir a un atacante modificar información y provocar la indisponibilidad de la aplicación a nivel de usuario. Se ha asignado el identificador CVE-2023-33991 a esta vulnerabilidad.
La segunda vulnerabilidad, de severidad alta, no valida la firma del JSON Web Token (JWT) en la solicitud HTTP enviada desde SAP Digital Manufacturing, lo que podría permitir a un atacante enviar solicitudes de servicio afectando a la integración con SAP Digital Manufacturing. Se ha asignado el identificador CVE-2023-2827 a esta vulnerabilidad.