Microsoft Patch Tuesday liberó 142 fallas, incluyendo dos vulnerabilidades de día cero y otras dos divulgadas públicamente. También destacamos una vulnerabilidad crítica de Apache en su servidor HTTP, y soluciones parae Ghostscript, OpenSSH ha abordado una falla y Splunk.
Martes de parche
Esta semana coincidió con un nuevo “Patch Tuesday” (Martes de Parches) de Microsoft, el que incluyó las actualizaciones de seguridad para 142 fallas, incluidas dos vulnerabilidades de día cero (Zero Day) activamente explotadas y otras dos que fueron divulgadas públicamente.
Las dos vulnerabilidades zero-day activamente explotadas en las actualizaciones de esta semana son CVE-2024-38080, una vulnerabilidad de elevación de privilegios en Windows Hyper-V, y CVE-2024-38112, una vulnerabilidad de suplantación en la plataforma MSHTML de Windows. Las otras dos vulnerabilidades divulgadas públicamente son el CVE-2024-35264, una vulnerabilidad de ejecución remota de código en .NET y Visual Studio, y el CVE-2024-37985, una vulnerabilidad de ataque de canal lateral «FetchBench» que puede ser utilizada para robar información secreta.
En total, entre los parches liberados se encuentran 5 para vulnerabilidades críticas, todas ellas fallas de ejecución remota de código, además de 26 vulnerabilidades de elevación de privilegios, 24 de omisión de características de seguridad, 59 de ejecución remota de código, 9 de divulgación de información, 17 de denegación de servicio y 7 de suplantación.
Además de los parches publicado durante este martes, Microsoft también liberó en estos días una nueva actualización para KB5040442 de Windows 11 y la actualización de KB5040427 de Windows 10.
Apache corrige falla de divulgación en código fuente de Apache Http Server
La Fundación Apache abordó una vulnerabilidad crítica de divulgación del código fuente, identificada como CVE-2024-39884, en su servidor HTTP Apache. La actualización publicada corrige fallas que permitían la denegación de servicio (DoS), la ejecución remota de código y el acceso no autorizado.
La vulnerabilidad CVE-2024-39884 se debe a una regresión en el manejo de las configuraciones de tipo de contenido heredadas, donde el uso de la directiva “AddType” y configuraciones similares pueden resultar en la divulgación involuntaria del código fuente de los archivos solicitados, como scripts PHP, en lugar de ser interpretados correctamente.
Esta regresión en Apache HTTP Server 2.4.60 permite que archivos locales sean entregados directamente, exponiendo su contenido a posibles atacantes. La recomendación es actualizar a la versión 2.4.61.
Atacantes explotan vulnerabilidad de Ghostscript
En días recientes se detectó la explotación activa de la vulnerabilidad CVE-2024-29510 en el intérprete para el lenguaje PostScript y archivos PDF, Ghostscript. La vulnerabilidad permite a los atacantes escapar del sandbox dSAFER y lograr la ejecución remota de código.
Esta vulnerabilidad fue descubierta junto a otras cinco por los investigadores de Codean Labs. Las versiones afectadas por esta vulnerabilidad son la 10.03.0 y siguientes, y tienen un impacto significativo en aplicaciones y servicios web que utilizan Ghostscript para la conversión y vista previa de documentos.
La falla se centra en el dispositivo «uniprint», que puede ser manipulado para filtrar datos de la pila y causar daños en la memoria.
Codean Labs ha publicado un código de prueba de concepto (PoC) para explotar esta vulnerabilidad, instando a los usuarios a actualizar a la versión 10.03.1 de Ghostscript.
Falla en OpenSSH puede derivar en ejecución de código remoto
La vulnerabilidad identificada como CVE-2024-6409 afecta a las versiones 8.7p1 y 8.8p1 de la suite de redes seguras OpenSSH, y puede explotarse para lograr la ejecución remota de código (RCE).
El problema radica en una condición de carrera en la función cleanup_exit() del proceso hijo privsep en OpenSSH, que se activa durante la autenticación asincrónica. Esta vulnerabilidad es particularmente relevante en el servidor sshd de Red Hat Enterprise Linux 9, donde una falla en el manejo de señales puede llevar a la ejecución de código remoto bajo un usuario sin privilegios.
El CVE-2024-6409 afecta exclusivamente a RHEL 9.
Splunk soluciona vulnerabilidades críticas en plataformas empresariales y en la nube
Splunk ha lanzado actualizaciones de seguridad para solucionar 16 vulnerabilidades en Splunk Enterprise y Cloud Platform, destacando la importancia de mantener prácticas sólidas de ciberseguridad. Entre las vulnerabilidades críticas se encuentran CVE-2024-36985, una ejecución remota de código (RCE) a través de la búsqueda externa en Splunk Enterprise, y CVE-2024-36984, que permite a los usuarios autenticados ejecutar código arbitrario mediante una carga útil de sesión serializada. Estas vulnerabilidades afectan a versiones anteriores a 9.0.10, 9.1.5 y 9.2.2 de Splunk, y pueden explotarse para ejecutar comandos arbitrarios o código malicioso.
Además de las vulnerabilidades críticas, las actualizaciones también abordan problemas de secuencias de comandos entre sitios (XSS), inyección de comandos, denegación de servicio (DoS) y cargas de archivos inseguras.