SAP ha publicado varias
actualizaciones de seguridad en varios productos en su comunicado mensual
correspondiente al mes de noviembre de 2017, catalogada de Importancia: 5 -
Crítica
Recursos afectados:
- Text Conversion
- LaMa 3.0
- LVM 2.1
- SAP Management Console
- SAP NetWeaver Java Workflow (JWF)
- SCM-APO-INT
- SAPUI5
- SAP BusinessObjects Analysis Edition for OLAP
- SAP CRM Mail Form Editor
- SAPGUI for HTML
- SAP ERP Learning Solution Content Player
- SAP Note Assistant
- SAP NetWeaver Knowledge Management XMLForms
- TranslationSupport application
- SAP NetWeaver Instance Agent Service
- SNOTE
- SAP HANA Extended Application Services (XS Advanced)
- NwSapSetup and Installation self extracting program
- Composite Application Framework Authorization Tool
- SAP HANA
- SAP BI Mobile Server
- SAP NetWeaver AS Java
SAP, en su comunicado mensual
de actualizaciones de productos ha publicado 13 notas de seguridad y 9
actualizaciones de notas previamente publicadas. Del total de notas publicadas,
3 de ellas son de severidad crítica, 1 de severidad alta y 18 calificadas con
severidad media.
Las notas de seguridad
calificadas como críticas se refieren a:
- Vulnerabilidad inyección de código en Text Conversion, que se ha actualizado con respecto a la reportada en 2016 con algunas instrucciones con correcciones adicionales.
- Divulgación de información/Escalado de privilegios en LaMa 3.0, lo cual podría permitir a un atacante acceder a información confidencial bajo ciertas condiciones.
- Divulgación de información/Escalado de privilegios en LVM 2.1 y LaMa 3.0, lo cual podría permitir a un atacante acceder a información confidencial bajo ciertas condiciones.
- Describe una vulnerabilidad que podría permitir a una atacante el acceso total a la consola de gestión SAP.
- Visite el portal de soporte de SAP https://www.sap.com/support.sap-support-portal.html para localizar e instalar los parches de seguridad que el fabricante haya proporcionado.
- SAP Security Patch Day – November 2017 https://blogs.sap.com/2017/11/14/sap-security-patch-day-november-2017/
- SAP Security Notes November 2017: Don't Get Too Comfortable, Hot News is Back https://www.onapsis.com/blog/sap-sec-notes-nov17-dont-get-too-comfortable-hot-news-back