SAP ha corregido vulnerabilidades de seguridad en
diferentes productos, catalogada de Importancia: 4. Alta
Recursos afectados:
- NWAs 710: SP16 a SP21
- NWAs 711: SP12 a SP16
- NWAs 730: SP12 a SP16
- SUPDOE Add-On 731: SP01 a SP04
- SAP Web IDE for SAP HANA
- AP 3D Visual Enterprise Author, Generator and Viewer
- DOE Administration Portal
- Componente BC-SRV-KPR-DMS
Otros: consultar el enlace proporcionado en la sección "Más información"
Recomendación
- Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.
En la actualización mensual, SAP ha publicado 15 nuevas
notas de seguridad de las que detallamos las más críticas:
- Vulnerabilidad en el motor SAP Netweaver Data
Orchestration (Alta): vulnerabilidad debido a que no se chequea
correctamente la autorización.
- Vulnerabilidad en interfaz web de SAP HANA (Alta):
vulnerabilidad en SAP HANA que podría permitir la manipulación remota de
datos así como denegación de servicio.
- Configuración de Trusted RFC en GRC Access Control
EAM (Alta): podría aprovecharse un problema existente en el modo en que se
realiza el control de acceso a la cuenta Fire Fighter ID.
- Corrupción de memoria en SAP 3D Visual Enterprise
Author, Generator and Viewer: un bug podría permitir que un atacante
consiguiera acceso al servidor SAP.
- Elevación de proivilegios (Alta): vulnerabilidad que
permite que un usuario pueda crear y ejecutar su propia transacción si se
ha realizado previamente una autorización de perfil incorrecta.
Más información
- SAP Security
Notes February 2017: Turning up the Volume https://www.onapsis.com/blog/sap-security-notes-february-2017-turning-volume