Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en los encabezados Transfer-Encoding en el analizador llhttp del módulo http en Node (CVE-2022-32215)
Severidad: Pendiente de análisis
Fecha de publicación: 14/07/2022
Fecha de última actualización: 19/07/2023
El parser llhttp anteriores a la versión v14.20.1, anteriores a la versión v16.17.1 y anteriores a la versión v18.9.1 del módulo http en Node.js no maneja correctamente las cabeceras Transfer-Encoding de varias líneas. Esto puede llevar al contrabando de solicitudes HTTP (HRS)
-
Vulnerabilidad en el parser llhttp en el módulo http en Node.js (CVE-2022-32214)
Severidad: Pendiente de análisis
Fecha de publicación: 14/07/2022
Fecha de última actualización: 19/07/2023
El parser llhttp anteriores a la versión v14.20.1, anteriores a la versión v16.17.1 y anteriores a la versión v18.9.1 del módulo http en Node.js no utiliza estrictamente la secuencia CRLF para delimitar las peticiones HTTP. Esto puede llevar a un contrabando de peticiones HTTP (HRS)
-
Vulnerabilidad en los encabezados Transfer-Encoding en el analizador llhttp en el módulo http en Node.js (CVE-2022-32213)
Severidad: Pendiente de análisis
Fecha de publicación: 14/07/2022
Fecha de última actualización: 19/07/2023
El analizador llhttp anteriores a la versión v14.20.1, anteriores a la versión v16.17.1 y anteriores a la versión v18.9.1 del módulo http en Node.js no analiza y valida correctamente las cabeceras Transfer-Encoding y puede dar lugar a HTTP Request Smuggling (HRS)
-
Vulnerabilidad en el encabezado gzip en el archivo inflate.c en zlib (CVE-2022-37434)
Severidad: Pendiente de análisis
Fecha de publicación: 05/08/2022
Fecha de última actualización: 19/07/2023
zlib versiones hasta 1.2.12, presenta una lectura excesiva de búfer en la región heap de la memoria o desbordamiento de búfer en el archivo inflate.c por medio de un campo extra del encabezado gzip. NOTA: sólo están afectadas las aplicaciones que llaman a inflateGetHeader. Algunas aplicaciones comunes agrupan el código fuente de zlib afectado pero pueden ser incapaces de llamar a inflateGetHeader (por ejemplo, véase la referencia nodejs/node)
-
Vulnerabilidad en el Protocolo de Acuerdo de Claves Diffie-Hellman (CVE-2002-20001)
Severidad: MEDIA
Fecha de publicación: 11/11/2021
Fecha de última actualización: 19/07/2023
El Protocolo de Acuerdo de Claves Diffie-Hellman permite a atacantes remotos (del lado del cliente) enviar números arbitrarios que en realidad no son claves públicas, y desencadenar costosos cálculos de exponenciación modular DHE del lado del servidor, también se conoce como un ataque D(HE)ater. El cliente necesita muy pocos recursos de CPU y ancho de banda de red. El ataque puede ser más perturbador en los casos en los que un cliente puede exigir al servidor que seleccione su mayor tamaño de clave soportado. El escenario básico del ataque es que el cliente debe afirmar que sólo puede comunicarse con DHE, y el servidor debe estar configurado para permitir DHE
-
Vulnerabilidad en el controlador [vhost_net] del kernel de Linux (CVE-2018-16880)
Severidad: MEDIA
Fecha de publicación: 29/01/2019
Fecha de última actualización: 19/07/2023
Se ha encontrado un error en la función handle_rx() del controlador [vhost_net] en el kernel de Linux. Un invitado virtual malicioso, en condiciones específicas, puede desencadenar una escritura fuera de límites en un bloque kmalloc-8 en un host virtual, lo que podría conducir a una corrupción de la memoria del kernel y al pánico del sistema. Debido a la naturaleza del error, no puede descartarse completamente el escalado de privilegios. Las versiones a partir de la v4.16 son vulnerables.
-
Vulnerabilidad en Android (CVE-2018-5873)
Severidad: MEDIA
Fecha de publicación: 06/07/2018
Fecha de última actualización: 19/07/2023
Debido a una condición de carrera al acceder a los archivos en todas las distribuciones de Android de CAF (Android for MSM, Firefox OS for MSM y QRD Android) que utilizan el kernel de Linux antes del parche de seguridad de nivel del 05/07/2018, puede ocurrir una condición de uso de memoria previamente liberada en el kernel.
-
Vulnerabilidad en la implementación L2TP con AVP de MPD (CVE-2020-7465)
Severidad: ALTA
Fecha de publicación: 06/10/2020
Fecha de última actualización: 19/07/2023
La implementación L2TP de MPD versiones anteriores a 5.9, permite a un atacante remoto que puede enviar un paquete de control L2TP específicamente diseñado con AVP versión Q.931 Causar Code para ejecutar código arbitrario o causar una denegación de servicio (corrupción de la memoria)
-
Vulnerabilidad en la implementación PPP de MPD (CVE-2020-7466)
Severidad: MEDIA
Fecha de publicación: 06/10/2020
Fecha de última actualización: 19/07/2023
La implementación PPP de MPD versiones anteriores a 5.9, permite a un atacante remoto que puede enviar un mensaje de autenticación PPP específicamente diseñado causar que el demonio lea más allá del búfer de memoria asignado, lo que resultaría en una condición de denegación de servicio