botón arriba

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el flag X509_V_FLAG_X509_STRICT en OpenSSL (CVE-2021-3450)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2021
    Fecha de última actualización: 04/08/2023
    El flag X509_V_FLAG_X509_STRICT permite llevar a cabo comprobaciones de seguridad adicionales de los certificados presentes en una cadena de certificados. No está establecido por defecto. A partir de la versión 1.1.1h de OpenSSL, se añadió como comprobación estricta adicional la de no permitir certificados en la cadena que tengan parámetros de curva elíptica codificados explícitamente. Un error en la implementación de esta comprobación significaba que el resultado de una comprobación previa para confirmar que los certificados de la cadena son certificados de CA válidos fueron sobrescritos. De este modo, se omite la comprobación de que los certificados que no son de CA no deben poder emitir otros certificados. Si se ha configurado un "purpose", se presenta la posibilidad de comprobar posteriormente que el certificado es una CA válida. Todos los valores de "purpose" implementados en libcrypto llevan a cabo esta comprobación. Por lo tanto, cuando se establece un propósito, la cadena de certificados seguirá siendo rechazada inclusive cuando se haya usado el flag strict. Se establece un propósito por defecto en las rutinas de verificación de certificados de cliente servidor de libssl, pero puede ser anulado o eliminado por una aplicación. Para que se vea afectada, una aplicación debe establecer explícitamente el flag de verificación X509_V_FLAG_X509_STRICT y no establecer un propósito para la verificación de certificados o, en el caso de las aplicaciones de cliente o servidor TLS, anular el propósito por defecto. Este problema afecta a las versiones 1.1.1h y posteriores de OpenSSL. Los usuarios de estas versiones deben actualizar a OpenSSL versión 1.1.1k. OpenSSL versión 1.0.2 no está afectado por este problema. Corregido en OpenSSL versión 1.1.1k (Afectadas versiones 1.1.1h-1.1.1j)
  • Vulnerabilidad en zlib (CVE-2018-25032)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2022
    Fecha de última actualización: 04/08/2023
    zlib versiones anteriores a 1.2.12 permite la corrupción de memoria al desinflar (es decir, al comprimir) si la entrada tiene muchas coincidencias distantes
  • Vulnerabilidad en el archivo net/nfc/nci/core.c en la función nci_request en NFC Controller Interface (NCI) en el kernel de Linux (CVE-2021-4202)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2022
    Fecha de última actualización: 04/08/2023
    Se encontró un fallo de uso de memoria previamente liberada en la función nci_request en el archivo net/nfc/nci/core.c en NFC Controller Interface (NCI) en el kernel de Linux. este fallo podría permitir a un atacante local con privilegios de usuario causar un problema de carrera de datos mientras es retirado el dispositivo, conllevando a un problema de escalada de privilegios
  • Vulnerabilidad en el archivo net/rxrpc/server_key.c en la función rxrpc_preparse_s en el kernel de Linux (CVE-2022-1671)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/07/2022
    Fecha de última actualización: 04/08/2023
    Se ha encontrado un fallo de desreferencia de puntero NULL en la función rxrpc_preparse_s en el archivo net/rxrpc/server_key.c en el kernel de Linux. Este fallo permite a un atacante local bloquear el sistema o filtrar información interna del kernel.
  • Vulnerabilidad en el archivo drivers/virt/acrn/hsm.c en la función acrn_dev_ioctl en el kernel de Linux (CVE-2022-1651)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/07/2022
    Fecha de última actualización: 04/08/2023
    Se ha encontrado un fallo de pérdida de memoria en el kernel de Linux en la función acrn_dev_ioctl del archivo drivers/virt/acrn/hsm.c en la forma en que el modelo de dispositivo ACRN emula las NIC virtuales en la VM. Este fallo permite a un atacante local privilegiado filtrar información del kernel no autorizada, causando una denegación de servicio.
  • Vulnerabilidad en el archivo fs/ntfs3/fslog.c en la función log_replay en el kernel de Linux (CVE-2022-1973)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/08/2022
    Fecha de última actualización: 04/08/2023
    Se encontró un defecto de uso de memoria previamente liberada en el kernel de Linux en la función log_replay en el archivo fs/ntfs3/fslog.c en el diario NTFS. Este fallo permite a un atacante local bloquear el sistema y conlleva a un problema de filtrado de información del kernel
  • Vulnerabilidad en el subsistema de sonido del kernel de Linux (CVE-2022-1048)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2022
    Fecha de última actualización: 04/08/2023
    Se ha encontrado un fallo de uso de memoria previamente liberada en el subsistema de sonido del kernel de Linux en la forma en que un usuario desencadena las llamadas concurrentes de PCM hw_params. La ioctls hw_free o una condición de carrera similar ocurre dentro de ALSA PCM para otras ioctls. Este defecto permite a un usuario local bloquear o potencialmente escalar sus privilegios en el sistema
  • Vulnerabilidad en un dispositivo USB en el controlador del archivo drivers/hid/usbhid/hiddev.c en el kernel de Linux (CVE-2019-19527)
    Severidad: ALTA
    Fecha de publicación: 03/12/2019
    Fecha de última actualización: 04/08/2023
    En el kernel de Linux versiones anteriores a 5.2.10, se presenta un bug de uso de la memoria previamente liberada que puede ser causado por un dispositivo USB malicioso en el controlador del archivo drivers/hid/usbhid/hiddev.c, también se conoce como CID-9c09b214f30e.
  • Vulnerabilidad en el archivo net/bluetooth/l2cap_core.c en la función l2cap_reassemble_sdu del componente Bluetooth en el Kernel de Linux (CVE-2022-3564)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2022
    Fecha de última actualización: 04/08/2023
    Se ha encontrado una vulnerabilidad clasificada como crítica en el Kernel de Linux. Esta vulnerabilidad afecta a la función l2cap_reassemble_sdu del archivo net/bluetooth/l2cap_core.c del componente Bluetooth. La manipulación conlleva a un uso de memoria previamente liberada. Es recomendado aplicar un parche para corregir este problema. El identificador asociado a esta vulnerabilidad es VDB-211087
  • Vulnerabilidad en diFree en el archivo fs/jfs/inode.c en Journaled File System (JFS) en el kernel de Linux (CVE-2022-3202)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/09/2022
    Fecha de última actualización: 04/08/2023
    Un fallo de desreferencia de puntero NULL en diFree en el archivo fs/jfs/inode.c en Journaled File System (JFS) en el kernel de Linux. Esto podría permitir a un atacante local bloquear el sistema o filtrar información interna del kernel
  • Vulnerabilidad en Cal.com (CVE-2023-37919)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2023
    Fecha de última actualización: 04/08/2023
    Cal.com es un software de programación de eventos de código abierto. Una vulnerabilidad permite que las sesiones activas asociadas a una cuenta permanezcan activas incluso después de activar 2FA. Al activar 2FA en una cuenta de Cal.com que está conectada en dos o más dispositivos, la cuenta permanece conectada en el otro dispositivo u otros dispositivos sin tener que verificar la identidad del propietario de la cuenta. En el momento de la publicación, no se conocen parches ni soluciones.