Lo último:
Portada

Actualización de seguridad de SAP de junio 2018

Gustavo Genez

Fecha de publicación: 14/06/2018

Importancia:
Crítica

Recursos afectados:

  • SAP Business One, versiones 9.2 y 9.3
  • SAP Internet Sales, versiones 7.30,7.31, 7.32, 7.33 y 7.54
  • SAP Business Objects CMC, BI Launchpad, Friorified BI Launchpad, versiones 4.0, 4.10, 4.20 y 4.30
  • SAP Business Objects Enterprise, versiones 4.0 y 4.1
  • SAP UI5
  • SAP UI5 Handler
  • SAP Identity Management, version 8.0

Descripción:

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.

Detalle:

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad de las cuales, 3 son actualizaciones de notas de seguridad publicadas con anterioridad, siendo 2 de ellas de severidad crítica, 4 de de severidad alta y 4 de severidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de inyección de código
  • 2 vulnerabilidad de divulgación de información
  • 1 vulnerabilidad de denegación de servicio
  • 1 vulnerabilidad de falta de Cross-Site Scripting
  • 1 vulnerabilidad de incorrecta validación de XML
  • 3 vulnerabilidades de otras tipologías

Las vulnerabilidades más relevantes son las siguientes:

  • Divulgación de información en SAP Business One que permitiría a un atacante obtener información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a aprender sobre el sistema y a planificar otros ataques.
  • Un atacante no autorizado podría ejecutar comandos de forma remota con el mismo nivel de privilegios que el servicio que lo ejecutó, pudiendo acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos de un servidor SAP, como por ejemplo al código fuente de la aplicación, la configuración y los archivos críticos del sistema. Esto le permitiría obtener información técnica crítica y de negocio.
  • Un atacante puede utilizar una vulnerabilidad de denegación de servico en SAP Internet Sales para terminar un proceso de un componente vulnerable, haciendo que nadie pueda utilizarlo. Esto afectaría a los procesos de negocio, disponibilidad del sistema y por lo tanto a la reputación del negocio.

Encuesta valoración

Etiquetas:
Actualización, SAP, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Vulnerabilidades en Moodle

Gustavo Genez

Vulnerabilidades en servidores de ISC BIND

Gustavo Genez

Actualizaciones de seguridad para Citrix XenServer

Gustavo Genez