botón arriba

Dos nuevos avisos de seguridad

Actualizaciones de seguridad de Microsoft de septiembre de 2023

Fecha13/09/2023
Importancia4 - Alta
Recursos Afectados
  • Microsoft Azure Kubernetes Service;
  • Azure DevOps;
  • Windows Cloud Files Mini Filter Driver;
  • Microsoft Identity Linux Broker;
  • 3D Viewer;
  • Visual Studio Code;
  • Microsoft Exchange Server;
  • Visual Studio;
  • Microsoft Office Word;
  • Microsoft Office Outlook;
  • Microsoft Office SharePoint;
  • Microsoft Office;
  • Microsoft Office Excel;
  • 3D Builder;
  • .NET Framework;
  • .NET and Visual Studio;
  • .NET Core & Visual Studio;
  • Microsoft Dynamics Finance & Operations;
  • Windows DHCP Server;
  • Microsoft Streaming Service;
  • Windows Kernel;
  • Windows GDI;
  • Windows Scripting;
  • Microsoft Dynamics;
  • Windows Common Log File System Driver;
  • Windows Themes;
  • Microsoft Windows Codecs Library;
  • Windows Internet Connection Sharing (ICS);
  • Windows TCP/IP;
  • Azure HDInsights;
  • Windows Defender.
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de septiembre, consta de 59 vulnerabilidades (con CVE asignado), calificadas 47 como importantes y 12 medias.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • escalada de privilegios,
  • ejecución remota de código,
  • suplantación de identidad (spoofing),
  • divulgación de información,
  • anulación de medidas de seguridad,
  • denegación de servicio.

Los códigos CVE asignados a las vulnerabilidades reportadas, pueden consultarse en las referencias.

Actualización de seguridad de SAP de septiembre de 2023

Fecha13/09/2023
Importancia5 - Crítica
Recursos Afectados
  • BusinessObjects Business Intelligence Platform (Promotion Management), versiones 420 y 430;
  • CommonCryptoLib, version 8;
  • NetWeaver AS ABAP, SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise (ver veriones del Kernel en referencias); 
  • Web Dispatcher, versiones 7.22EXT, 7.53, 7.54, 7.77, 7.85, 7.89;
  • Content Server, versiones 6.50, 7.53, 7.54;
  • HANA Database, versión 2.0;
  • Host Agent, versión 722;
  • Extended Application Services and Runtime (XSA), versiones SAP_EXTENDED_APP_SERVICES 1;
  • XS_ADVANCED_RUNTIME 1.00;
  • Product–SAPSSOEXT, versión 17.

El resto de productos afectados por vulnerabilidades no críticas se pueden consultar en el aviso del fabricante.

Descripción

SAP han publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 13 notas de seguridad, siendo 2 de severidad crítica, 2 altas, 7 medias y 2 bajas. También, se han actualizado 5 notas se seguridad de meses anteriores.

Los tipos de vulnerabilidades nuevas publicadas son:

  • divulgación de información,
  • control de acceso inadecuado,
  • validación insuficiente del tipo de archivo,
  • denegación de servicio,
  • inyección de código,
  • falta de validación,
  • fallo en la configuración de seguridad.

Las vulnerabilidades de severidad crítica afectan a SAP BusinessObjects Business Intelligence Platform y SAP CommonCryptoLib, y su explotación podría permitir, a un atacante, acceder a información sensible, así como una escalada de privilegios que le permita abusar de funcionalidades restringidas.

Se han asignado los identificadores CVE-2023-40622 y CVE-2023-40309, respectivamente.