Autor: Seguridad CSIRT-CV

El boletín de seguridad de Android del mes de septiembre corrige varias vulnerabilidades, que se encuentran disponibles en los parches de seguridad del 01-09-2023 y del 05-09-2023, así como posteriores.

Las vulnerabilidades críticas se detallan a continuación:

• • 3 de ejecución remota de código que afectan a system (CVE-2023-35658, CVE-2023-35673 y CVE-2023-35681).
  • 1 de corrupción de memoria debido a la falta de comprobación del tamaño del búfer que afecta al componente Qualcomm closed-source (CVE-2023-28581).

Recursos afectados

• • Android Open Source Project (AOSP): versiones 11, 12, 12L y 13.
  • Componentes:
    • framework,
    • system,
    • sistema de actualizaciones de Google Play,
    • Qualcomm (incluidos closed-source).

Recomendaciones

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no puedas comprobar la versión de tus dispositivos o la fecha del parche de seguridad, revisa la página del fabrican.

Referencias

• • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/boletin-de-seguridad-de-android-de-septiembre-de-2023
  • https://source.android.com/docs/security/bulletin/2023-09-01
  • https://source.android.com/security/bulletin
  • https://support.google.com/android/answer/7680439?hl=es

Autodesk ha publicado múltiples vulnerabilidades que afectan a varios de sus productos. Las vulnerabilidades detectadas son de severidad alta, lo que significa que, de ser explotadas exitosamente, podrían afectar a la confidencialidad, integridad o disponibilidad de los datos del usuario.

Análisis

Las vulnerabilidades detectadas son de tipo escritura fuera de límites, desbordamiento de búfer, desreferencia de puntero no confiable y corrupción de memoria. Un ciberdelincuente podría aprovechar estas vulnerabilidades para provocar un bloqueo, acceder a datos confidenciales o ejecutar código arbitrario.

Recursos afectados

• • Autodesk® AutoCAD® Architecture 2023;
  • Autodesk® AutoCAD® Electrical 2023;
  • Autodesk® AutoCAD® Map 3D 2023;
  • Autodesk® AutoCAD® Mechanical 2023;
  • Autodesk® AutoCAD® MEP 2023;
  • Autodesk® AutoCAD® Plant 3D 2023;
  • Autodesk® AutoCAD LT® 2023;
  • Autodesk AutoCAD Mac 2024;
  • Autodesk AutoCAD LT para Mac 2024;
  • Autodesk Civil 3D 2023;
  • Autodesk Advance Steel 2023.

Recomendaciones

Autodesk recomienda actualizar los productos afectados a la última versión disponible a través de Autodesk Access o el portal de cuentas.

Referencias

Multiple Vulnerabilities in the Autodesk AutoCAD Desktop Software

HPE ha notificado 48 vulnerabilidades en su producto SANnav Management Software, 7 de estas, críticas, y el resto repartidas entre altas, medias y críticas.

Análisis

Las vulnerabilidades críticas son de los tipos siguientes:

• • deserialización de datos no fiables (CVE-2016-1000027);
  • desbordamiento de enteros y contrabando de solicitudes HTTP (CVE-2017-7657);
  • validación de datos de entrada incorrecta e inyección de código (CVE-2018-1273);
  • ejecución de código (CVE-2018-17190);
  • ejecución remota de código (CVE-2022-33980);
  • omisión de autenticación (CVE-2022-40664);
  • inyección de código (CVE-2022-42889).

El resto de identificadores CVE para vulnerabilidades no críticas se pueden consultar en el aviso del fabricante.

Recursos afectados

HPE SANnav Management Software, versiones anteriores a 2.3.0 y 2.2.2a.

Recomendaciones

Actualizar a las versiones:

• • HPE SANnav Management Portal, versiones 2.2.2a o posteriores.
  • HPE SANnav Global View, versiones 2.2.2a o posteriores.
  • HPE SANnav Management Portal, versiones 2.3.0 o posteriores.
  • HPE SANnav Global View, versiones 2.3.0 o posteriores.

Referencias

HPESBST04532 rev.1 – HPE B-Series SANnav Management Portal and Global View, Multiple Vulnerabilities

HP ha comunicado que existen 6 vulnerabilidades: 2 de severidad media, 3 altas y 1 crítica que podrían explotarse de forma remota para permitir el desbordamiento de búfer, ejecución de código, ejecución de código arbitrario y escalada de privilegios.

Análisis

La vulnerabilidad de severidad crítica se ha clasificado como autenticación inadecuada y uso de credenciales codificadas. Se ha asignado el identificador CVE-2022-40259 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2022-26872, CVE-2022-2827 y CVE-2022-40242.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-32265 y CVE-2022-40258.

Recursos afectados

• • Servidor HPE Cloudline CL4150 Gen10, versiones anteriores a 3.09.0.0.

Recomendaciones

Actualizar el firmware BMC a la versión 3.09.0.0 o posterior.

Para ello es necesario comunicarse con el soporte de HPE para realizar la descarga.