Actualización de seguridad de SAP de octubre 2018

Fecha de publicación: 10/10/2018

Importancia:
Alta

Recursos afectados:

• SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2.
• SAP Business Client, versión 6.5.
• Proyecto Gardener, versión 0.12.2.
• SAP Plant Connectivity, versiones 15.0, 15.1 y 15.2.
• SAP Records Management, versiones 7.0 a 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 y 7.51.
• SAP HANA, versiones 1.0 y 2.0.
• SAP Netweaver Application Server para ABAP, versiones desde 7.0 hasta 7.02, 7.30, 7.31, 7.40 y desde 7.50 hasta 7.53.
• SAP BusinessObjects Business Intelligence Platform, versiones 4.10 y 4.20.
• SAP Data Services, versión 4.2.
• SAP Plant Connectivity, versión 15.0.
• SAP BusinessObjects BI Platform Servers (Software Development Kit), versiones 4.1 y 4.2.
• SAP Adaptive Server Enterprise (ASE), versiones 15.7 y 16.0.
• SAP Fiori 1.0 para SAP ERP HCM (Approve Leave Request, versión 2), versión 1.0.
• SAP Fiori 1.0 para SAP ERP HCM (Approve Leave Request, versión 2), versión 1.0.
• SAP Adaptive Server Enterprise (ASE), versiones 15.7 y 16.0.

Descripción:

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 15 notas de seguridad, de las cuales 4 son actualizaciones de notas de seguridad publicadas con anterioridad (repartidas entre una de severidad crítica, 2 de severidad alta y una de severidad media), 1 de severidad crítica, 2 de severidad alta y 8 de severidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

• 3 vulnerabilidades de divulgación de información.
• 1 vulnerabilidad de actualizaciones de seguridad para el control del navegador Chromium.
• 1 vulnerabilidad de aislamiento incorrecto de la red.
• 1 vulnerabilidad de denegación de servicio.
• 1 vulnerabilidad de aprovechamiento de privilegios.
• 2 vulnerabilidades de validación incorrecta de XML.
• 3 vulnerabilidades de Cross-Site Scripting.
• 1 vulnerabilidad de divulgación de ruta de archivo.
• 2 vulnerabilidades de Cross-Site Request Forgery.

Las vulnerabilidades más relevantes son las siguientes:

• SAP BusinessObjects BI Suite tiene una vulnerabilidad de divulgación de información. Un atacante puede usarlo para revelar información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a conocer el sistema y planificar otros ataques. Se ha asignado el identificador CVE-2018-2471 para esta vulnerabilidad.
• El proyecto Gardener tiene una vulnerabilidad de aislamiento incorrecto de la red, lo que puede permitir que un atacante actuando como administrador en un shoot cluster comprometa el seed cluster correspondiente u otros seed clusters controlados por este seed cluster. Se ha asignado el identificador CVE-2018-2475 para esta vulnerabilidad.
• SAP Plant Connectivity (PCo) tiene una vulnerabilidad de denegación de servicio (DoS) que podría permitir a un atacante finalizar un proceso del componente vulnerable. Se han asignado los identificadores CVE-2018-12585 y CVE-2018-12086 para esta vulnerabilidad.

El resto de identificadores CVE presentes en el informe mensual de octubre de 2018 de SAP son: CVE-2018-2465, CVE-2018-2470, CVE-2018-2472, CVE-2018-2466, CVE-2017-12069, CVE-2018-2467, CVE-2018-2469, CVE-2018-2474, CVE-2018-2474 y CVE-2018-2468.

Etiquetas:
Actualización, SAP, Vulnerabilidad