Nueva actualización de seguridad de SAP

15/11/2018
SAP lanza su correspondiente parche de seguridad mensual para corregir las vulnerabilidades descubiertas en sus productos.

Riesgo: Crítico Crítico
Sistemas afectados:
  • SAP HANA Streaming Analytics, versión 2.0
  • SAP Fiori Client
  • Project “Gardener”, versión 0.12.4
  • SAP Disclosure Management, versiones 10.x
  • SAP BusinessObjects BI Platform Server, versiones 4.1 y 4.2
  • SAP_ABA, versiones desde la 7.00 hasta la 7.02, desde la 7.10 hasta la 7.11, desde la 7.30, 7.31, 7.40, 7.50 y 75C hasta la 75D
  • SAP Basis (TREX / BWA installation), versiones desde la 7.0 hasta la 7.02, desde la 710 hasta la 7.11, desde la 7.30, 7.31, 7.40 y 7.50 hasta la 7.53
  • Knowledge Management (XMLForms) in SAP NetWeaver, versiones desde la 7.30, 7.31, 7.40 hasta la 7.50
  • SAP BusinessObjects Business Intelligence, versiones 4.1 y 4.2
  • SAP BusinessObjects Business Intelligence Platform (BIWorkspace) versiones 4.1 y 4.2
  • SAP NetWeaver AS ABAP Business Server Pages
  • SAP NetWeaver (forums), versiones 7.30, 7.31 y 7.40
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2
  • SAP Mobile Secure Android Application, version 6.60.19942.0
Descripción:

La actualización mensual cierra 14 notas de seguridad después de agregar las tres publicadas desde el día del parche de octubre. La explotación de las más mismas pueden permitir a un atacante realizar inyección de código, cross-site scripting, denegación de servicio, redirección de URLs, obtención de acceso no autorizado al sistema de archivos del sistema Operativo explotando incorrectas validaciones de XML, entre otras.

La vulnerabilidad crítica a destacar en las notas de SAP es la que reside en SAP HANA Streaming Analytics. Si esta es aprovechada por parte de un atacante podría permitirle ejecutar código remoto con los mismos permisos del servicio que los ejecuta, pudiendo acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos del servidor SAP, esto permitiría obtener información crítica técnica y de negocio almacenada en el sistema SAP vulnerable.

Solución:

Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.

Notas:

Más información aquí.

Fuente: Incibe-cert