SAP ha publicado su actualización mensual que soluciona 11 vulnerabilidades en diferentes productos y actualiza otras 3 previamente publicadas, catalogadas de Importancia: 4 Alta
Recursos afectados:
- SAP Adaptative Server Enterprise (ASE)
- SAP HANA
- Otros productos de SAP: Consultar portal de soporte. https://support.sap.com/kb-incidents/notifications/security-notes.html
SAP, en su comunicación mensual de parches de seguridad,
ha emitido un total de 14 actualizaciones, siendo 3 de ellas de criticidad
alta, y el resto media. Entre las vulnerabilidades 5 son fallos de verificación
de autorización, 2 de fugas de información y otras dos relacionadas con XSS o
inyección SQL.
Dos de las de prioridad alta, que afectan a SAP ASE son
las siguientes:
- Comprobación insuficiente de errores en SAP ASE: podría permitir a un atacante remoto la ejecucuón de códigos SQL arbitrarios.
- Inyección SQL en SAP ASE: Que podría permitir a un atacante la ejecución de comandos de administración a través de un objeto con instrucciones SQL especialmente diseñadas.
- Para conocer el detalle del resto, es necesario visitar el portal de soporte https://support.sap.com/kb-incidents/notifications/security-notes.html
- Aplicar los parches distribuidos por SAP. Se recomienda visitar el portal de soporte del fabricante para comprobar los parches necesarios https://support.sap.com/kb-incidents/notifications/security-notes.html
- SAP Security Patch Day - September 2016 http://scn.sap.com/community/security/blog/2016/09/13/sap-security-patch-day--september-2016
- Missing Authorization Checks – SAP Security Notes September 2016 https://www.onapsis.com/blog/missing-authorization-checks-%E2%80%93-sap-security-notes-september-2016