Vulnerabilidades en servidores de ISC BIND y DHCP

Fecha de publicación: 17/01/2018

Importancia: Crítica

Recursos afectados

Las versiones afectadas de BIND son:

  • 9.0.0 a 9.8.x, 9.9.0 a 9.9.11, 9.10.0 a 9.10.6, 9.11.0 a 9.11.2, 9.9.3-S1 a 9.9.11-S1, 9.10.5-S1 a 9.10.6-S1, 9.12.0a1 a 9.12.0rc1

Las versinones afectadas de DHCP son:

  • 4.1.0 a 4.1-ESV-R15, 4.2.0 a 4.2.8, 4.3.0 a 4.3.6.  Versiones anteriores fuera de su end-of-life (EOL) también pueden haber sido afectadas. Versiones anteriores a 4.1.0 no han sido testeadas.

Descripción

Internet Systems Consortium (ISC) ha identificado vulnerabilidades en los servicios BIND y DHCP mantenidos por esta organización.

Solución

Para el producto BIND, se recomienda aplicar el parche más cercano dependiendo de la versión en uso. Los parches publicados son:

 

BIND 9 version 9.9.11-P1

BIND 9 version 9.10.6-P1

BIND 9 version 9.11.2-P1

BIND 9 version 9.12.0rc2

Estos parches están disponibles en http://www.isc.org/downloads

 

Para el producto DHCP, ISC incluirá un parche en futuras versiones. Se puede solicitar con anterioridad en security-officer@isc.org.

Detalle

Internet Systems Consortium (ISC) ha reportado dos vulnerabilidades una de nivel alto y otra de nivel medio en los productos BIND y DHCP.

BIND tiene una vulnerabilidad de limpieza de operaciones secuenciada incorrectamente en el contexto del “fetch” (“Improper fetch cleanup sequencing”) que puede provocar una caída del sistema. Para esta vulnerabilidad se ha asignado el CVE-2017-3145.

DHCP tiene una vulnerabilidad provocada por una incorrecta limpieza de las conexiones OMAPI que puede provocar un agotamiento del servidor DHCP. Para esta vulnerabilidad se ha asignado el CVE-2017-3144.

Referencias

CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash 

CVE-2017-3144: Failure to properly clean up closed OMAPI connections can exhaust available sockets 

Actualizaciones críticas en Oracle (Enero 2018)

Fecha de publicación: 17/01/2018

Importancia: Crítica

Recursos afectados

Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4

Application Express, versiones anteriores a 5.1.4.00.08

Converged Commerce, versión 16.0.1

Hyperion BI+, versión 11.1.2.4

Hyperion Data Relationship Management, versión 11.1.2.4.330

Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x

Java Advanced Management Console, versión 2.8

Java ME SDK, versión 8.3

JD Edwards EnterpriseOne Tools, versión 9.2

MICROS Handheld Terminal, versiones Prior to BSP 02.13.0701 (070116)

MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x

MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1

MySQL Connectors, versiones 5.3.9 y anteriores, 6.9.9 y anteriores, 6.10.4 y anterioes

MySQL Enterprise Monitor, versiones 3.3.6.3293 y anteriores, 3.4.4.4226 y anteriores 4.0.0.5135 y anteriores

MySQL Server, versiones 5.5.58 y anterioresr, 5.6.38 y anteriores, 5.7.20 y anteriores

Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0

Oracle Agile Engineering Data Management, versiones 6.1.3, 6.2.0, 6.2.1

Oracle Agile PLM, versiones 9.3.3, 9.3.4, 9.3.5, 9.3.6

Oracle Agile PLM MCAD Connector, versiones 3.3, 3.4, 3.5, 3.6

Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1

Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1

Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0

Oracle Banking Payments, versiones 12.3.0, 12.4.0

Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0

Oracle Communications Application Session Controller, versión 3.x

Oracle Communications BRM – Elastic Charging Engine, versión 7.5

Oracle Communications Convergent Charging Controller, versión 6.0

Oracle Communications Network Charging y Control, versión 6.0

Oracle Communications Order y Service Management, versiones 7.2.4.1.x, 7.2.4.2.x, 7.3.0.1.x, 7.3.0.x.x

Oracle Communications Services Gatekeeper, versiones 5.1, 6.0

Oracle Communications Unified Inventory Management, versiones 7.2.4.2.x, 7.3

Oracle Communications User Data Repository, versiones 10.x, 12.x

Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1

Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0

Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7

Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0

Oracle Financial Services Analytical Applications Infrastructure, versiones 7.3.5.x, 8.0.x

Oracle Financial Services Analytical Applications Reconciliation Framework, versión 8.0.x

Oracle Financial Services Asset Liability Management, versiones 6.1.x, 8.0.x

Oracle Financial Services Balance Sheet Planning, versión 8.0.x

Oracle Financial Services Funds Transfer Pricing, versiones 6.1.x, 8.0.x

Oracle Financial Services Hedge Management y IFRS Valuations, versión 8.0.x

Oracle Financial Services Liquidity Risk Management, versión 8.0.x

Oracle Financial Services Loan Loss Forecasting y Provisioning, versión 8.0.x

Oracle Financial Services Market Risk, versión 8.0.x

Oracle Financial Services Market Risk Measurement y Management, versión 8.0.5

Oracle Financial Services Price Creation y Discovery, versión 8.0.5

Oracle Financial Services Profitability Management, versiones 6.1.x, 8.0.x

Oracle FLEXCUBE Direct Banking, versiones 12.0.2, 12.0.3

Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 11.5.0, 11.6.0, 11.7.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.3.0, 12.4.0

Oracle Fusion Applications, versiones 11.1.2 through 11.1.9

Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3

Oracle Health Sciences Empirica Inspections, versión 1.0.1.1

Oracle Health Sciences Empirica Signal, versión 8.0.1.0

Oracle Hospitality Cruise Dining Room Management, versión 8.0.78

Oracle Hospitality Cruise Fleet Management, versión 9.0.4.0

Oracle Hospitality Cruise Shipboard Property Management System, versión 7.3.874

Oracle Hospitality Guest Access, versiones 4.2.0, 4.2.1

Oracle Hospitality Labor Management, versiones 8.5.1, 9.0.0

Oracle Hospitality Reporting y Analytics, versiones 8.5.1, 9.0.0

Oracle Hospitality Simphony, versiones 2.7, 2.8, 2.9

Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0

Oracle Hyperion Planning, versión 11.1.2.4.007

Oracle Identity Manager, versión 11.1.2.3.0

Oracle Identity Manager Connector, versiones 9.0.4.20.6, 9.0.4.21.0, 9.0.4.25.4

Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0

Oracle iPlanet Web Server, versión 7.0

Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1

Oracle Java SE Embedded, versión 8u151

Oracle JDeveloper, versiones 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0

Oracle JRockit, versión R28.3.16

Oracle Mobile Security Suite, versión 3.0.1

Oracle Retail Assortment Planning, versiones 14.1.3, 15.0.3, 16.0.1

Oracle Retail Convenience y Fuel POS Software, versión 2.1.132

Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x

Oracle Retail Fiscal Management, versión 14.1

Oracle Retail Merchandising System, versión 16.0

Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0

Oracle Secure Global Desktop (SGD), versión 5.3

Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3

Oracle Tuxedo System y Applications Monitor, versión 12.1.3.0.0

Oracle VM VirtualBox, versiones anteriores a 5.1.32, anteriores a 5.2.6

Oracle WebCenter Content, versiones 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0

Oracle WebCenter Portal, versiones 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0

Oracle WebCenter Sites, versión 11.1.1.8.0

Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0

Oracle X86 Servers, versiones SW 1.x, SW 2.x

OSS Support Tools, versiones anteriores a 2.11.33

PeopleSoft Enterprise FIN Supply Chain Portal Pack Argentina, versión 9.1

PeopleSoft Enterprise FIN Supply Chain Portal Pack Brazil, versión 9.1

PeopleSoft Enterprise FSCM, versión 9.2

PeopleSoft Enterprise HCM Human Resources, versiones 9.1, 9.2

PeopleSoft Enterprise PeopleTools, versiones 8.54, 8.55, 8.56

PeopleSoft Enterprise PRTL Interaction Hub, versión 9.1.00

PeopleSoft Enterprise SCM eProcurement, versiones 9.1, 9.2

PeopleSoft Enterprise SCM Purchasing, versión 9.2

Primavera Unifier, versiones 10.x, 15.x, 16.x, 17.x

Siebel Applications, versiones 16.0, 17.0

Solaris, versiones 10, 11.3

Sun ZFS Storage Appliance Kit (AK), versiones anterioes a 8.7.13

Descripción

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.

Solución

Aplicar los parches correspondientes según el/los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Detalle

Esta actualización resuelve un total de 237 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.

Referencias

Oracle Critical Patch Update Advisory – January 2018

Múltiples vulnerabilidades en productos de Intel

 

Fecha de publicación: 17/01/2018

Importancia: Alta

Recursos afectados

  • Nombre en clave: Dawson Canyon, nombre de modelo: NUC7i3DN NUC7i5DN
  • Nombre en clave: Maple Canyon, nombre de modelo: NUC5i3MY y NUC5i5MY
  • Plataformas Mobile, Desktop, Server, Workstation y Embedded basadas en procesadores Intel® Core™ y Atom™ con un procesador gráfico que use un controlador identificado.

Descripción

Se han publicado dos vulnerabilidades, una de ellas de severidad alta, que podrían permitir a un atacante el cálculo de la clave secreta RSA o la ejecución de código con privilegios elevados en los productos afectados.

Solución

Para la vulnerabilidad del uso del algoritmo “Fast Prime”:

En el siguiente el sitio puede ver detalles sobre los parches de Microsoft que solucionan esta vulnerabilidad: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012. Si se requiriera una actualización de firmware del producto afectado, puede visitar el siguiente sitio `para obtener asistencia: https://www.intel.com/content/www/us/en/support.html.

 

Para la vulnerabilidad de ruta de búsqueda no confiable:

Actualice los controladores de su dispositivo gráfico afectado a la última versión en intel.com.

Detalle

Varios investigadores de la Universidad Masaryk en la República Checa, han desarrollado recientemente una metodología que permite analizar y explotar vulnerabilidades en algoritmos de aceleración de selección de números primos. Actualmente, un atacante que usara dicha metodología podría obtener una clave RSA de 2048 bits con un esfuerzo de 50 CPU-años de media. Se ha reservado el identificador CVE-2017-15361 para este aviso.

Un atacante podría explotar la vulnerabilidad de ruta de búsqueda no confiable, pudiendo llegar a ejecutar código con privilegios elevados. Se ha reservado el identificador CVE-2017-5696 para esta vulnerabilidad.

Referencias

Intel® NUC Kit with Infineon Trusted Platform Module

Background Information on software update of RSA key generation function

Untrusted search path in Intel Graphics Driver allows unprivileged user to elevate privileges via local access

Actualización de seguridad 4.9.2 para WordPress

 

Fecha de publicación: 17/01/2018

Importancia: Alta

Recursos afectados

  • WordPress 3.7 y posteriores.

Descripción

Descubierta una vulnerabilidad XSS que afecta a todas las versiones desde la 3.7.

Solución

Ha sido publicada la versión 4.9.2 del gestor de contenidos WordPress la cual soluciona dicha vulnerabilidad. Puedes descargarla desde su web oficial.

Detalle

Los investigadores Enguerran Gillier y Widiz han descubierto una vulnerabilidad Cross-site scripting (XSS) en los archivos de respaldo Flash de la librería MediaElement que afecta a todas las versiones desde la v3.7.

Referencias

WordPress 4.9.2 Security and Maintenance Release