SysAdmin 24x7

Microsoft Patch Tuesday for Nov. 2020 — Snort rules and prominent vulnerabilities https://blog.talosintelligence.com/2020/11/microsoft-patch-tuesday-for-nov-2020.html

Ubuntu fixes bugs that standard users could use to become root A handful of commands was all it took for untrusted users to become all-powerful. https://arstechnica.com/information-technology/2020/11/ubuntu-fixes-bugs-that-standard-users-could-use-to-become-root/

Microsoft Patch Tuesday Update Fixes 17 Critical Bugs Remote code execution vulnerabilities dominate this month’s security bulletin of warnings and patches. Microsoft’s November Patch Tuesday roundup of security fixes tackled an unusually large crop of remote code execution (RCE) bugs. Twelve of Microsoft’s 17 critical patches were tied to RCE bugs. In all, 112 vulnerabilities were patched by Microsoft, with 93 rated important, and two rated low in severity. https://threatpost.com/microsoft-patch-tuesday-critical-bugs/161098/

Chinese hacking competition cracks Chrome, ESXi, Windows 10, iOS 14, Galaxy 20, Qemu, and more VMware warns of incoming security fix after attackers get root on host https://www.theregister.com/2020/11/09/tianfu_cup/

Escalada de privilegios en HPE OneView y Synergy Composer Fecha de publicación: 05/11/2020 Importancia: 5 - Crítica Recursos afectados: HPE Synergy Composer, versiones 5.0, 5.00.01, 5.00.02, 5.2, 5.20.01, 5.3, 5.4 y anteriores; HPE Synergy Composer2, versiones 5.0, 5.00.01, 5.00.02, 5.2, 5.20.01, 5.3, 5.4; HP OneView, versiones 5.0, 5.00.01, 5.00.02, 5.2, 5.20.01, 5.3, 5.4 y anteriores. Descripción: Hewlett Packard Enterprise ha publicado una vulnerabilidad que podría permitir a un atacante la escalada remota de privilegios. Solución: Actualizar a la versión 5.5 de OneView, Composer y Composer2. Detalle: La vulnerabilidad podría permitir a un atacante, siendo usuario de una cuenta OneView en OneView y Synergy Composer, realizar una escalada de privilegios de forma remota. Se ha asignado el identificador CVE-2020-7198 para esta vulnerabilidad. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/escalada-privilegios-hpe-oneview-y-synergy-composer

Múltiples vulnerabilidades en Salt de SaltStack Fecha de publicación: 05/11/2020 Importancia: 5 - Crítica Recursos afectados: Salt, versión 3002 y anteriores. Descripción: KPC, de Trend Micro Zero Day Initiative, ha reportado 2 de las 3 vulnerabilidades detectadas. 2 de estas vulnerabilidades tienen severidad alta/crítica y 1 baja, y son de tipo inyección de comandos, omisión de autenticación y problema de permisos. Solución: Las siguientes versiones tendrán un paquete disponible para descargar desde el repositorio: 3002.x; 3001.x; 3000.x; 2019.x. Las siguientes versiones tendrán un parche disponible para descargar: 3002; 3001.1 y 3001.2; 3000.3 y 3000.4; 2019.2.5 y 2019.2.6; 2018.3.5; 2017.7.4 y 2017.7.8; 2016.11.3, 2016.11.6 y 2016.11.10; 2016.3.4, 2016.3.6 y 2016.3.8; 2015.8.10 y 2015.8.13. Detalle: Un usuario, no autenticado, con acceso de red a la API de Salt, podría realizar inyecciones de comandos (shell injections) para ejecutar código en la API de Salt mediante el cliente SSH. Se ha asignado el identificador CVE-2020-16846 para esta vulnerabilidad. Cuando se usa el cliente SSH, un usuario no autenticado podría obtener acceso para ejecutar comandos contra objetivos establecidos en una lista Salt-SSH, debido a que eauth no se valida correctamente al llamar al cliente SSH a través de la API, por lo que cualquier valor para eauth o token permitiría al usuario omitir la autenticación. Se ha asignado el identificador CVE-2020-25592 para esta vulnerabilidad. Para la vulnerabilidad de severidad baja, se ha asignado el identificador CVE-2020-17490. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-salt-saltstack-0

Validación de entrada incorrecta en Cisco AnyConnect Secure Mobility Client Fecha de publicación: 05/11/2020 Importancia: 4 - Alta Recursos afectados: Esta vulnerabilidad afecta a todas las versiones del software Cisco AnyConnect Secure Mobility Client con una configuración vulnerable para las siguientes plataformas: AnyConnect Secure Mobility Client para Linux, AnyConnect Secure Mobility Client para MacOS, AnyConnect Secure Mobility Client para Windows. Una configuración vulnerable requiere que se habiliten, tanto la configuración Auto Update (habilitada predeterminadamente), como Enable Scripting (deshabilitada de manera predeterminada). Descripción: Gerbert Roitburd, investigador de Secure Mobile Networking Lab (TU Darmstadt), ha notificado una vulnerabilidad, con severidad alta, de tipo validación de entrada incorrecta. Solución: Cisco no ha publicado actualizaciones de software que aborden esta vulnerabilidad. El PSIRT (Product Security Incident Response Team) del fabricante es consciente de que el código de explotación de PoC está disponible para la vulnerabilidad descrita en este aviso, aunque no tiene conocimiento de ningún uso malintencionado de la vulnerabilidad descrita. Una mitigación para esta vulnerabilidad es deshabilitar la funcionalidad Auto Update. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/validacion-entrada-incorrecta-cisco-anyconnect-secure-mobility

Este fin de semana se celebra el sexto Congreso de Seguridad Informática de Guadalajara. https://honeysec.blogspot.com/2020/11/este-fin-de-semana-se-celebra-el-vi.html La retransmisión puede seguirse a través del canal de Youtube “Palabra de Hacker” y de los siguientes canales de Twitch: Retransmisión múltiple: https://www.multitwitch.tv/honey_sec/honey_ing/honey_tallerCanal Castellano: https://www.twitch.tv/honey_sec  Canal Ingles: https://www.twitch.tv/honey_ing  Canal Talleres: https://www.twitch.tv/honey_taller  Canal Youtube: https://www.youtube.com/channel/UCcyWP9LAiT1MnG6T6Lf5a2A Telegram: @Honey_SEC

Security Updates Available for Adobe Acrobat and Reader | APSB20-67 https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

VMware on Wednesday informed customers that it has released new patches for ESXi after learning that a fix made available last month for a critical vulnerability was incomplete. The vulnerability, tracked as CVE-2020-3992, was described as a use-after-free bug that affects the OpenSLP service in ESXi. A remote, unauthenticated attacker can exploit the flaw to execute arbitrary code. However, VMware said the attacker needs to be on the management network and have access to port 427 on an ESXi machine in order to exploit the flaw. https://www.securityweek.com/patch-critical-vmware-esxi-vulnerability-incomplete

Hacker group uses Solaris zero-day to breach corporate networks https://www.zdnet.com/article/hacker-group-uses-solaris-zero-day-to-breach-corporate-networks/

Oracle issues emergency patch for CVE-2020-14750 WebLogic Server flaw Oracle issued an out-of-band security update to address a critical remote code execution https://securityaffairs.co/wordpress/110329/hacking/cve-2020-14750-weblogic-server-flaw.html

Google patches second Chrome zero-day in two weeks Google Chrome 86.0.4240.183 available for download. Patches 10 security bugs, including an actively-exploited zero-day. https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

0-day en el kernel de Windows está siendo explotado activamente https://unaaldia.hispasec.com/2020/10/0-day-en-el-kernel-de-windows-esta-siendo-explotado-activamente.html

[SECURITY] [DLA 2420-1] linux security update ------------------------------------------------------------------------- Package : linux Version : 4.9.240-1 CVE ID : CVE-2019-9445 CVE-2019-19073 CVE-2019-19074 CVE-2019-19448 CVE-2020-12351 CVE-2020-12352 CVE-2020-12655 CVE-2020-12771 CVE-2020-12888 CVE-2020-14305 CVE-2020-14314 CVE-2020-14331 CVE-2020-14356 CVE-2020-14386 CVE-2020-14390 CVE-2020-15393 CVE-2020-16166 CVE-2020-24490 CVE-2020-25211 CVE-2020-25212 CVE-2020-25220 CVE-2020-25284 CVE-2020-25285 CVE-2020-25641 CVE-2020-25643 CVE-2020-26088 Several vulnerabilities have been discovered in the Linux kernel that may lead to the execution of arbitrary code, privilege escalation, denial of service or information leaks. https://lists.debian.org/debian-lts-announce/2020/10/msg00032.html

Actualización de seguridad 5.5.2 para WordPress Fecha de publicación: 30/10/2020 Importancia: 4 - Alta Recursos afectados:  WordPress, versiones 5.5.1 y anteriores. Descripción:  Se ha publicado la última versión de WordPress, que corrige 10 problemas de seguridad. Solución:  Actualizar a la versión 5.5.2. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-552-wordpress