George Nosenko, Alexander
Polyakov,Evgeny Neyolov y Dmitry Chastukhin han descubierto varias
vulnerabilidades en SAP NetWeaver que podrían permitir a atacantes remotos
realizar ataques cross-site scripting, denegación de servicio e incluso
revelaciónes de información sensible.
NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.
Detalle e impacto
potencial de las vulnerabilidades detectadas
- La primera de las vulnerabilidades, con CVE-2014-1963, en la que un error al no validar correctamente los datos de entrada, podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de vectores no especificados. https://service.sap.com/sap/support/notes/1773912
- La segunda de las vulnerabilidades, con CVE-2014-1961, en la que un error no especificado en el módulo 'Portal WebDynPro', podría ser aprovechado por un atacante remoto para revelar información sensible del sistema. https://service.sap.com/sap/support/notes/1852146
- La tercer vulnerabilidad, con CVE-2014-1960, podría ser aprovechada para revelar información sensible, en este caso debido a un error de falta de comprobación de autorización. https://service.sap.com/sap/support/notes/182888
- La cuarta de las vulnerabilidades, con CVE-2014-1964, en la que un error de validación de datos de entrada en 'SAP NetWeaver Integration Repository', podría ser aprovechado por un atacante remoto para afectar parcialmente a la integridad del sistema a través de un enlace especialmente manipulado. https://service.sap.com/sap/support/notes/1788080
- Y la quinta vulnerabilidad, con CVE-2014-1965, podría ser también aprovechada por un atacante remoto para afectar parcialmente a la integridad del sistema a través de un enlace especialmente manipulado. En este caso debido a un error de validación de datos de entrada en 'SAP NetWeaver Integration Repository'.https://service.sap.com/sap/support/notes/1442517
Recomendación
- Se recomienda aplicar los parches indicados.
Más información:
- Una al día (16/02/2014) http://unaaldia.hispasec.com/2014/02/multiples-vulnerabilidades-en-sap.html
Fuente: Hispasec