Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/11/2018
Nova actualització de seguretat de SAP
SAP llança el seu pegat de seguretat mensual per a corregir les vulnerabilitats descobertes en els seus productes.L'actualització mensual tanca 14 notes de seguretat després d'agregar les tres publicades des del dia del pegat d'octubre. L'explotació d’aquestes pot permetre a un atacant realitzar injecció de codi, cross-site scripting, denegació de servei, redirecció d’URL, obtenció d'accés no autoritzat al sistema d'arxius del sistema operatiu explotant incorrectes validacions d’XML, entre altres.
La vulnerabilitat crítica a destacar en les notes de SAP és la que resideix en SAP HANA Streaming Analytics. Si aquesta és aprofitada per part d'un atacant, li podria permetre executar codi remot amb els mateixos permisos del servei que els executa, i poder accedir a arxius i directoris arbitraris situats en un sistema d'arxius del servidor SAP, això permetria obtindre informació crítica tècnica i de negoci emmagatzemada en el sistema SAP vulnerable.
Sistemes Afectats:- SAP HANA Streaming Analytics, versió 2.0
- SAP Fiori Client
- Project “Gardener”, versió 0.12.4
- SAP Disclosure Management, versions 10.x
- SAP BusinessObjects BI Platform Server, versions 4.1 i 4.2
- SAP_ABA, versions des de la 7.00 fins a la 7.02, des de la 7.10 fins a la 7.11, des de la 7.30, 7.31, 7.40, 7.50 i 75C fins a la 75D
- SAP Basis (TREX / BWA installation), versions des de la 7.0 fins a la 7.02, des de la 710 fins a la 7.11, des de la 7.30, 7.31, 7.40 i 7.50 fins a la 7.53
- Knowledge Management (XMLForms) in SAP NetWeaver, versions des de la 7.30, 7.31, 7.40 fins a la 7.50
- SAP BusinessObjects Business Intelligence, versions 4.1 i 4.2
- SAP BusinessObjects Business Intelligence Platform (BIWorkspace) versions 4.1 i 4.2
- SAP NetWeaver AS ABAP Business Server Pages
- SAP NetWeaver (forums), versions 7.30, 7.31 i 7.40
- SAP BusinessObjects Business Intelligence Platform, versions 4.1 i 4.2
- SAP Mobile Secure Android Application, version 6.60.19942.0
CVE-2018-1270, CVE-2018-1275, CVE-2018-2488, CVE-2018-2491, CVE-2018-2489, CVE-2018-2490, CVE-2018-2475, CVE-2018-2487, CVE-2018-2473, CVE-2018-2481, CVE-2018-2478, CVE-2018-2477, CVE-2018-2445, CVE-2018-2479, CVE-2018-2470, CVE-2018-2476, CVE-2018-2483, CVE-2018-2482
Solució:Visitar el portal de suport de SAP i instal·lar actualitzacions o pegats necessaris segons indique el fabricant.
Notes:Més informació ací.