Actualización de seguridad de SAP de junio 2018

Fecha de publicación: 14/06/2018

Importancia:
Crítica

Recursos afectados:

  • SAP Business One, versiones 9.2 y 9.3
  • SAP Internet Sales, versiones 7.30,7.31, 7.32, 7.33 y 7.54
  • SAP Business Objects CMC, BI Launchpad, Friorified BI Launchpad, versiones 4.0, 4.10, 4.20 y 4.30
  • SAP Business Objects Enterprise, versiones 4.0 y 4.1
  • SAP UI5
  • SAP UI5 Handler
  • SAP Identity Management, version 8.0

Descripción:

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.

Detalle:

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad de las cuales, 3 son actualizaciones de notas de seguridad publicadas con anterioridad, siendo 2 de ellas de severidad crítica, 4 de de severidad alta y 4 de severidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de inyección de código
  • 2 vulnerabilidad de divulgación de información
  • 1 vulnerabilidad de denegación de servicio
  • 1 vulnerabilidad de falta de Cross-Site Scripting
  • 1 vulnerabilidad de incorrecta validación de XML
  • 3 vulnerabilidades de otras tipologías

Las vulnerabilidades más relevantes son las siguientes:

  • Divulgación de información en SAP Business One que permitiría a un atacante obtener información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a aprender sobre el sistema y a planificar otros ataques.
  • Un atacante no autorizado podría ejecutar comandos de forma remota con el mismo nivel de privilegios que el servicio que lo ejecutó, pudiendo acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos de un servidor SAP, como por ejemplo al código fuente de la aplicación, la configuración y los archivos críticos del sistema. Esto le permitiría obtener información técnica crítica y de negocio.
  • Un atacante puede utilizar una vulnerabilidad de denegación de servico en SAP Internet Sales para terminar un proceso de un componente vulnerable, haciendo que nadie pueda utilizarlo. Esto afectaría a los procesos de negocio, disponibilidad del sistema y por lo tanto a la reputación del negocio.

Encuesta valoración

Etiquetas:
Actualización, SAP, Vulnerabilidad

Powered by WPeMatico

Entradas relacionadas

About Gustavo Genez 1260 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.