SAP. Actualización de seguridad de noviembre 2017

SAP ha publicado varias actualizaciones de seguridad en varios productos en su comunicado mensual correspondiente al mes de noviembre de 2017, catalogada de Importancia: 5 - Crítica

Recursos afectados:

1. Text Conversion
2. LaMa 3.0
3. LVM 2.1
4. SAP Management Console
5. SAP NetWeaver Java Workflow (JWF)
6. SCM-APO-INT
7. SAPUI5
8. SAP BusinessObjects Analysis Edition for OLAP
9. SAP CRM Mail Form Editor
10. SAPGUI for HTML
11. SAP ERP Learning Solution Content Player
12. SAP Note Assistant
13. SAP NetWeaver Knowledge Management XMLForms
14. TranslationSupport application
15. SAP NetWeaver Instance Agent Service
16. SNOTE
17. SAP HANA Extended Application Services (XS Advanced)
18. NwSapSetup and Installation self extracting program
19. Composite Application Framework Authorization Tool
20. SAP HANA
21. SAP BI Mobile Server
22. SAP NetWeaver AS Java

Detalle e Impacto potencial de vulnerabilidades :

SAP, en su comunicado mensual de actualizaciones de productos ha publicado 13 notas de seguridad y 9 actualizaciones de notas previamente publicadas. Del total de notas publicadas, 3 de ellas son de severidad crítica, 1 de severidad alta y 18 calificadas con severidad media.

Las notas de seguridad calificadas como críticas se refieren a:

1. Vulnerabilidad inyección de código en Text Conversion, que se ha actualizado con respecto a la reportada en 2016 con algunas instrucciones con correcciones adicionales.
2. Divulgación de información/Escalado de privilegios en LaMa 3.0, lo cual podría permitir a un atacante acceder a información confidencial bajo ciertas condiciones.
3. Divulgación de información/Escalado de privilegios en LVM 2.1 y LaMa 3.0, lo cual podría permitir a un atacante acceder a información confidencial bajo ciertas condiciones.

La nota de seguridad de severidad alta:

• Describe una vulnerabilidad que podría permitir a una atacante el acceso total a la consola de gestión SAP.

Recomendación

• Visite el portal de soporte de SAP https://www.sap.com/support.sap-support-portal.html para localizar e instalar los parches de seguridad que el fabricante haya proporcionado.

Más información

• SAP Security Patch Day – November 2017 https://blogs.sap.com/2017/11/14/sap-security-patch-day-november-2017/
• SAP Security Notes November 2017: Don't Get Too Comfortable, Hot News is Back https://www.onapsis.com/blog/sap-sec-notes-nov17-dont-get-too-comfortable-hot-news-back

Fuente: INCIBE