CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/11/2018

Nueva actualización de seguridad de SAP

SAP lanza su correspondiente parche de seguridad mensual para corregir las vulnerabilidades descubiertas en sus productos.

Riesgo: Crítico

La actualización mensual cierra 14 notas de seguridad después de agregar las tres publicadas desde el día del parche de octubre. La explotación de las más mismas pueden permitir a un atacante realizar inyección de código, cross-site scripting, denegación de servicio, redirección de URLs, obtención de acceso no autorizado al sistema de archivos del sistema Operativo explotando incorrectas validaciones de XML, entre otras.

La vulnerabilidad crítica a destacar en las notas de SAP es la que reside en SAP HANA Streaming Analytics. Si esta es aprovechada por parte de un atacante podría permitirle ejecutar código remoto con los mismos permisos del servicio que los ejecuta, pudiendo acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos del servidor SAP, esto permitiría obtener información crítica técnica y de negocio almacenada en el sistema SAP vulnerable.

Sistemas Afectados:
  • SAP HANA Streaming Analytics, versión 2.0
  • SAP Fiori Client
  • Project “Gardener”, versión 0.12.4
  • SAP Disclosure Management, versiones 10.x
  • SAP BusinessObjects BI Platform Server, versiones 4.1 y 4.2
  • SAP_ABA, versiones desde la 7.00 hasta la 7.02, desde la 7.10 hasta la 7.11, desde la 7.30, 7.31, 7.40, 7.50 y 75C hasta la 75D
  • SAP Basis (TREX / BWA installation), versiones desde la 7.0 hasta la 7.02, desde la 710 hasta la 7.11, desde la 7.30, 7.31, 7.40 y 7.50 hasta la 7.53
  • Knowledge Management (XMLForms) in SAP NetWeaver, versiones desde la 7.30, 7.31, 7.40 hasta la 7.50
  • SAP BusinessObjects Business Intelligence, versiones 4.1 y 4.2
  • SAP BusinessObjects Business Intelligence Platform (BIWorkspace) versiones 4.1 y 4.2
  • SAP NetWeaver AS ABAP Business Server Pages
  • SAP NetWeaver (forums), versiones 7.30, 7.31 y 7.40
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2
  • SAP Mobile Secure Android Application, version 6.60.19942.0
Referencias:

CVE-2018-1270, CVE-2018-1275, CVE-2018-2488, CVE-2018-2491, CVE-2018-2489, CVE-2018-2490, CVE-2018-2475, CVE-2018-2487, CVE-2018-2473, CVE-2018-2481, CVE-2018-2478, CVE-2018-2477, CVE-2018-2445, CVE-2018-2479, CVE-2018-2470, CVE-2018-2476, CVE-2018-2483, CVE-2018-2482

Solución:

Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.

Notas:

Más información aquí.

Fuente: Incibe-cert

CSIRT-CV