Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/06/2014
Vulnerabilidad en SAP NetWeaver
Se ha anunciado una vulnerabilidad en SAP NetWeaver que podría permitir a atacantes remotos modificar la información de los sistemas SAP e incluso llegar a comprometer toda la información de la compañía.Riesgo: Crítico
NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.
El problema reside en el componente System Landscape Directory o SLD (incluido en todos los SAP JAVA Application Servers). SLD actúa como repositorio central de información de las aplicaciones.
El mecanismo empleado para añadir nuevos sistemas al SLD no está adecuadamente asegurado por defecto, lo que puede dar lugar a que un atacante remoto sin autenticar pueda interactuar con el SLD y por el diseño de su arquitectura, podría llegar al compromiso total del sistema.
Sistemas Afectados: SAP NetWeaver
Referencias:None
Solución:SAP ha publicado la SAP Note 1939334 para proporcionar versiones actualizadas de los componentes afectados. Los parches pueden descargarse desde:
Notas: Más información:
[Onapsis Security Advisory 2014-020] SAP SLD Information Tampering
Fuente: Hispasec una-al-día