CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/06/2014

Vulnerabilitat en SAP NetWeaver

S’ha anunciat una vulnerabilitat en SAP NetWeaver que podria permetre a atacants remots modificar la informació dels sistemes SAP i inclús arribar a comprometre tota la informació de la companyia.

Risc: Crític
NetWeaver és una plataforma composta per totes les aplicacions SAP a fi d’aconseguir una millor integració entre les aplicacions esmentades, utilitzar estàndards per a assegurar la interoperabilitat, aportar una gran flexibilitat, i reduir els costos. SAP NetWeaver és àmpliament utilitzat en el món empresarial.

El problema rau en el component System Landscape Directory o SLD (inclòs en tots els SAP JAVA Application Servers). SLD actua com a repositori central d’informació de les aplicacions.
El mecanisme emprat per a afegir nous sistemes al SLD no està adequadament assegurat per defecte, la qual cosa pot donar lloc al fet que un atacant remot sense autenticar puga interactuar amb el SLD i, pel disseny de la seua arquitectura, podria arribar al compromís total del sistema.

Sistemes Afectats:

SAP NetWeaver

Referències:

None

Solució:

SAP ha publicat la SAP Note 1939334 per a proporcionar versions actualitzades dels components afectats. Els parches poden descarregar-se des de:

https://service.sap.com/sap/support/notes/1939334.

Notes:
Més informació:
[Onapsis Security Advisory 2014-020] SAP SLD Information Tampering
http://seclists.org/fulldisclosure/2014/Jun/37
Font: Hispasec una-al-día

CSIRT-CV