Esta semana son Cisco y Oracle quienes lanzan actualizaciones de seguridad

Si hace una semana eran Adobe y Microsoft las que lanzaban una actualización de seguridad para sus productos, esta semana los protagonistas son Cisco y Oracle, que han lanzado 26 y parches de seguridad respectivamente.

También puedes leer... Todo lo que necesitas saber sobre Spectre y Meltdown Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Empecemos con Cisco Systems, que ha reparado vulnerabilidades en Unified Customer Voice Portal (CVP), Email Security, y NX-OS. En lo que respecta a su Email Security, se repara una vulnerabilidad (CVE-2018-0095) de escalada de privilegios que permitiría que un atacante con permisos de invitado tuviera acceso a la raíz del sistema. Explica la compañía que la vulnerabilidad está causada por una configuración de red errónea en la interfaz de línea de comandos del shell administrativo. Todas las versiones de los dispositivos que se distribuyeron antes de la actualización más reciente se ven afectadas, advierte Cisco.

La vulnerabilidad que afecta a Cisco Unified Customer Voice Portal (CVP), la número CVE-2018-0086, permite que un atacante remoto no autenticado cause una condición de DoS en el dispositivo enviando tráfico de invitación SIP especialmente diseñado al dispositivo de destino.

Por último, el fallo en NX-OS (CVE-2018-0102), que permite que un atacante con acceso a la red pueda explotar el fallo para hacer que los dispositivos vulnerables se recarguen. Cisco también ha avisado a sus clientes de otros dos fallos en NX-OS, pero clasificados con una severidad media.

Todas las vulnerabilidades anunciadas por Cisco han sido descubiertas por la compañía y no se tiene ninguna evidencia de que se están explotando.

Oracle

Esta semana Oracle lanzaba su primera ronda de actualizaciones de seguridad, que incluye parches para vulnerabilidades tan populares como Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754). En total se lanzaban 237 parches de seguridad que afectaban tanto a bases de datos como Java, PeopleSoft, Siebel y aplicaciones de E-Business Suite.

Entre las vulnerabilidades consideradas como críticas las CVE-2018-2655 y CVE-2018-2656 que afectan a Oracle E-Business Suite (EBS) y que fueron detectadas por la empresa de seguridad Onapsis. Estas vulnerabilidades pueden explotarse de manera remota y sin necesidad de autenticación por parte del usuario. Según Onapsis, un atacante podría ejecutar una consulta arbitraria en la base de datos para obtener o modificar información privada.

Como parte de la actualización de este mes se parchean 21 vulnerabilidades de seguridad en Java, de las que 18 se pueden explotar de forma remota sin autenticación.