20 de febrero de 2014

SAP NetWeaver . Reportadas múltiples vulnerabilidades

George Nosenko, Alexander Polyakov,Evgeny Neyolov y Dmitry Chastukhin han descubierto varias vulnerabilidades en SAP NetWeaver que podrían permitir a atacantes remotos realizar ataques cross-site scripting, denegación de servicio e incluso revelaciónes de información sensible.
NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.
Detalle e impacto potencial de las vulnerabilidades detectadas
  1. La primera de las vulnerabilidades, con CVE-2014-1963, en la que un error al no validar correctamente los datos de entrada, podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de vectores no especificados.  https://service.sap.com/sap/support/notes/1773912
  2. La segunda de las vulnerabilidades, con CVE-2014-1961, en la que un error no especificado en el módulo 'Portal WebDynPro', podría ser aprovechado por un atacante remoto para revelar información sensible del sistema. https://service.sap.com/sap/support/notes/1852146
  3. La tercer vulnerabilidad, con CVE-2014-1960, podría ser aprovechada para revelar información sensible, en este caso debido a un error de falta de comprobación de autorización. https://service.sap.com/sap/support/notes/182888
  4. La cuarta de las vulnerabilidades, con CVE-2014-1964, en la que un error de validación de datos de entrada en 'SAP NetWeaver Integration Repository', podría ser aprovechado por un atacante remoto para afectar parcialmente a la integridad del sistema a través de un enlace especialmente manipulado. https://service.sap.com/sap/support/notes/1788080
  5. Y la quinta vulnerabilidad, con CVE-2014-1965, podría ser también aprovechada por un atacante remoto para afectar parcialmente a la integridad del sistema a través de un enlace especialmente manipulado. En este caso debido a un error de validación de datos de entrada en 'SAP NetWeaver Integration Repository'.https://service.sap.com/sap/support/notes/1442517
Recomendación
  • Se recomienda aplicar los parches indicados.
Más información:
Fuente:  Hispasec