Dos nuevos avisos de seguridad

Ejecución de código arbitrario en lenguaje de programación R

Fecha02/05/2024
Importancia4 - Alta
Recursos Afectados

Lenguaje de programación R, versiones desde 1.4.0 hasta la anterior a 4.4.0.

Descripción

Kasimir Schulz y Kieran Evans, investigadores de HiddenLayer, han reportado una vulnerabilidad de severidad alta en el lenguaje R que podría permitir ejecutar código arbitrario directamente tras la deserialización de datos no fiables, permitiendo a un atacante tomar el control del sistema afectado.

La investigación de HiddenPlayer ha detectado repositorios con ficheros fuente que potencialmente podrían contener código vulnerable incluidos en proyectos de R Studio, Facebook, Google, Microsoft, AWS y otros proveedores de software.

Solución

Actualizar R Core a la versión 4.4.0.

Detalle

Cuando se compila un paquete en R, se crea un archivo .rdb que contiene representaciones serializadas de los objetos que se van a incluir. El archivo .rdb va acompañado de un archivo .rdx que contiene metadatos relativos a los blobs binarios ahora almacenados en el archivo .rdb.

Un atacante podría crear archivos .rds y .rdx maliciosos y utilizar técnicas de ingeniería social para distribuir esos archivos con el fin de ejecutar código arbitrario en el dispositivo de la potencial víctima. Asimismo, también se podría aprovechar los comandos del sistema para acceder a los recursos disponibles para la aplicación y exfiltrar datos en el dispositivo de destino.

Se ha asignado el identificador CVE-2024-27322 para esta vulnerabilidad.

Múltiples vulnerabilidades en ArubaOS de HPE Aruba

Fecha02/05/2024
Importancia4 - Alta
Recursos Afectados

HPE Aruba Networking:

  • Mobility Conductor (formerly Mobility Master);
  • Mobility Controllers;
  • WLAN Gateways and SD-WAN Gateways managed by Aruba Central.

Versiones software afectadas:

  • ArubaOS 10.5.x.x: 10.5.1.0 y anteriores;
  • ArubaOS 10.4.x.x: 10.4.1.0 y anteriores;
  • ArubaOS 8.11.x.x: 8.11.2.1 y anteriores;
  • ArubaOS 8.10.x.x: 8.10.0.10 y anteriores.

Todas las versiones software ArubaOS ySD-WAN (estas versiones se encuentran sin mantenimiento):

  • ArubaOS 10.3.x.x;
  • ArubaOS 8.9.x.x;
  • ArubaOS 8.8.x.x; 
  • ArubaOS 8.7.x.x; 
  • ArubaOS 8.6.x.x; 
  • ArubaOS 6.5.4.x; 
  • SD-WAN 8.7.0.0-2.3.0.x;
  • SD-WAN 8.6.0.4-2.2.x.x.
Descripción

HPE ha publicado 10 vulnerabilidades: 4 de severidad crítica y 6 medias, que podrían dar lugar a una ejecución de código arbitrario y denegación de servicio (DoS).

Solución

HPE Aruba Networking ha lanzado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad.

Detalle

Las vulnerabilidades de severidad crítica son de tipo desbordamiento de búfer y su explotación podría dar lugar a una
ejecución de código arbitrario como usuario privilegiado en el sistema operativo subyacente.

Se han asignado los identificadores CVE -2024-26304, CVE-2024-26305, CVE-2024-33511 y CVE-2024-33512 para estas vulnerabilidades.