botón arriba

Tres nuevos avisos de seguridad

Múltiples vulnerabilidades en HPE Unified Correlation Analyzer

Fecha09/08/2023
Importancia5 - Crítica
Recursos Afectados

HPE Unified Correlation Analyzer (UCA) 4.3.x anterior a 4.3.27.

Descripción

HPE ha informado de 21 vulnerabilidades en su producto Unified Correlation Analyzer (UCA), siendo 5 de ellas críticas, 9 altas y 7 calificadas como medias o bajas.

Solución

HPE recomienda actualizar a la versión 4.3.27.

Detalle

Las vulnerabilidades detectadas podrían causar la omisión de restricción de acceso, omisión de autenticación, ejecución de código, denegación de servicio (DoS), salto de directorio trasversal, divulgación de información, entidad externa XML (XXE) o errores en la validación de entrada. Se han asignado los identificadores CVE-2020-11989, CVE-2021-21351, CVE-2021-41303, CVE-2022-32532 y CVE-2022-40664 para las vulnerabilidades críticas.

Actualización de seguridad de SAP de agosto de 2023

Fecha09/08/2023
Importancia5 - Crítica
Recursos Afectados
  • SAP PowerDesigner, versión 16.7.

El resto de productos afectados por vulnerabilidades no críticas se pueden consultar en el aviso del fabricante.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 15 notas de seguridad, siendo 1 de severidad crítica, 7 altas, 6 medias y 1 baja. También, se han actualizado 3 notas se seguridad de meses anteriores.

Los tipos de vulnerabilidades nuevas publicadas son:

  • control de acceso inadecuado,
  • inyección de código,
  • Cross-Site Scripting (XSS),
  • elemento de ruta de búsqueda no controlada,
  • denegación de servicio,
  • inyección SQL,
  • divulgación de información,
  • fallo en la configuración de seguridad.

Las vulnerabilidades de severidad crítica afectan a SAP PowerDesigner Client y su explotación podría permitir a un atacante, no autenticado, ejecutar peticiones arbitrarias contra la base de datos del backend a través del proxy. Se han asignado los identificadores CVE-2023-37483 y CVE-2023-37484.

Actualizaciones de seguridad de Microsoft de agosto de 2023

Fecha09/08/2023
Importancia5 - Crítica
Recursos Afectados
  • Microsoft Office;
  • Memory Integrity System Readiness Scan Tool;
  • Microsoft Exchange Server;
  • Microsoft Teams;
  • Windows Kernel;
  • Microsoft Office Excel;
  • Microsoft Office Visio;
  • Windows Message Queuing;
  • Windows Projected File System;
  • Windows Reliability Analysis Metrics Calculation Engine;
  • Windows Fax y Scan Service;
  • Windows HTML Platform;
  • driver Windows Bluetooth A2DP;
  • Microsoft Dynamics;
  • .NET Core;
  • ASP.NET y Visual Studio;
  • Azure HDInsights;
  • Azure DevOps;
  • .NET Framework;
  • Reliability Analysis Metrics Calculation Engine;
  • Microsoft WDAC OLE DB proveedor de SQL;
  • Windows Group Policy;
  • Microsoft Office SharePoint;
  • Microsoft Office Outlook;
  • Tablet Windows User Interface;
  • ASP.NET;
  • Windows Common Log File System Driver;
  • Windows System Assessment Tool;
  • Windows Cloud Files Mini Filter Driver;
  • Windows Wireless Wide Area Network Service;
  • Windows Cryptographic Services;
  • Role: Windows Hyper-V;
  • Windows Smart Card;
  • Microsoft Edge (basado en Chromium);
  • Dynamics Business Central Control;
  • SQL Server;
  • Microsoft Windows Codecs Library;
  • Windows Defender;
  • Azure Arc;
  • ASP .NET;
  • Windows LDAP (Lightweight Directory Access Protocol);
  • Windows Mobile Device Management.
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 8 de agosto, consta de 74 vulnerabilidades (con CVE asignado), calificadas como: 4 de severidad crítica, 47 importantes y 23 medias. Adicionalmente, se han publicado 2 avisos de seguridad (con códigos ADV230003 y ADV230004).

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • escalada de privilegios,
  • omisión de característica de seguridad,
  • ejecución remota de código,
  • divulgación de información,
  • denegación de servicio,
  • suplantación de identidad (spoofing).

Se han asignado los identificadores CVE-2023-21709, CVE-2023-35385, CVE-2023-36910 y CVE-2023-36911 para las vulnerabilidades críticas.

Microsoft ha corregido 2 vulnerabilidades 0day que se corresponden con los identificadores ADV230003 y CVE-2023-38180.