SAP han corregido múltiples
vulnerabilidades de seguridad en diferentes productos, la actualización de ha
catalogado de Importancia: 4 - Alta
Recursos afectados:
- SAP NetWeaver AS
Java Web Container
- Visual composer
- SAP
BusinessObjects
- SAP NetWeaver
Java Server
- SAP Sybase
- SAP CRM
WebClient User Interface
- SAP CRM IPC
Pricing
- SAP CRM
WebClient UI
- SAP NetWeaver
Business Client
- SAP SRM Live
Auction Application
- Adobe Document
Services
- Web Intelligence
BI Launchpad
- SAP NetWeaver
- SAP NetWeaver
Logon Application
- SAP NetWeaver
K.M. Web Page Composer
- ABAP Workbench
Detalle e impacto de
las vulnerabilidades
- SAP, en su comunicado mensual de privacidad ha
publicado un total de 16 actualizaciones, siendo 3 de ellas de criticidad
alta, 11 de criticidad media y 2 calificadas con criticidad baja.
- Las notas de seguridad calificadas como altas se
refieren a:
- Vulnerabilidad de inyección de código en Visual
Composer, la cual permite a un atacante introducir código malicioso en el
"back end" de la aplicación
- Vulnerabilidad de directorio transversal en SAP
NetWeaver, la cual afecta a la confidencialidad de la información al
permitir al atacante obtener acceso a archivos aleatorios.
- Vulnerabilidad Cross-Site en peticiones de AJAX que
afecta a SAP BusinessObjects, a través de la cual un atacante podría
llegar a inyectar algún tipo de script malicioso dentro de la página.
Recomendación
- Visitar el portal de soporte de SAP e instalar
actualizaciones o parches necesarios según indique el fabricante desde ( https://support.sap.com/
)
Más información
- SAP Security
Patch Day – August 2017 https://blogs.sap.com/2017/08/08/sap-security-patch-day-august-2017/
- SAP Security Notes
August 2017: Remote Code Injection Vulnerability in JAVA Component https://www.onapsis.com/blog/sap-security-notes-august-2017-remote-code-injection-vulnerability-java-component
Fuente: INCIBE
