Actualización de seguridad de SAP de junio 2018
Fecha de publicación: 14/06/2018
Importancia:
Crítica
Recursos afectados:
- SAP Business One, versiones 9.2 y 9.3
- SAP Internet Sales, versiones 7.30,7.31, 7.32, 7.33 y 7.54
- SAP Business Objects CMC, BI Launchpad, Friorified BI Launchpad, versiones 4.0, 4.10, 4.20 y 4.30
- SAP Business Objects Enterprise, versiones 4.0 y 4.1
- SAP UI5
- SAP UI5 Handler
- SAP Identity Management, version 8.0
Descripción:
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.
Solución:
Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.
Detalle:
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad de las cuales, 3 son actualizaciones de notas de seguridad publicadas con anterioridad, siendo 2 de ellas de severidad crítica, 4 de de severidad alta y 4 de severidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
- 2 vulnerabilidades de inyección de código
- 2 vulnerabilidad de divulgación de información
- 1 vulnerabilidad de denegación de servicio
- 1 vulnerabilidad de falta de Cross-Site Scripting
- 1 vulnerabilidad de incorrecta validación de XML
- 3 vulnerabilidades de otras tipologías
Las vulnerabilidades más relevantes son las siguientes:
- Divulgación de información en SAP Business One que permitiría a un atacante obtener información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a aprender sobre el sistema y a planificar otros ataques.
- Un atacante no autorizado podría ejecutar comandos de forma remota con el mismo nivel de privilegios que el servicio que lo ejecutó, pudiendo acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos de un servidor SAP, como por ejemplo al código fuente de la aplicación, la configuración y los archivos críticos del sistema. Esto le permitiría obtener información técnica crítica y de negocio.
- Un atacante puede utilizar una vulnerabilidad de denegación de servico en SAP Internet Sales para terminar un proceso de un componente vulnerable, haciendo que nadie pueda utilizarlo. Esto afectaría a los procesos de negocio, disponibilidad del sistema y por lo tanto a la reputación del negocio.
Etiquetas:
Actualización, SAP, Vulnerabilidad
Powered by WPeMatico