14 de abril de 2018

SAP. Actualización de seguridad del mes de abril 2018

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
1.    SAP Business Client
2.    SAP Business One
3.    SAP Visual Composer
4.    SAP Business Objects
5.    SAP Cloud Platform Connector
6.    SAP Disclosure Management
7.    SAP Solution Manager
8.    Sybase PowerBuilder
9.    SMP
10. Agentry
11. SAP Open Switch
12. SAP Open Server
13. SDK for SAP ASE
14. SYBASE SOFTWARE DEV KIT
15. SYBASE IQ
16. SAP IQ
17. Sybase SQL Anywhere
18. SAP SQL Anywhere
19. SAP SQL Anywhere OnDemand
20. SAP ASE
21. SAP Replication Server
22. SYBASE ECDA
23. SAP HANA Smart Data Streaming
24. SAP Complex Assembly Manufacturing
25. SAP Data Services
26. SAP Crystal Reports Server, OEM Edition
27. SAP Control Center and SAP Cockpit Framework
Recomendación
Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.
Detalle de actualización
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 8 notas de seguridad y 4 actualizaciones, siendo 1 de ellas de severidad crítica, 4 altas y el resto de criticidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
  • 2 vulnerabilidades de inyección de código.
  • 2 vulnerabilidades de cross-site scripting.
  • 2 vulnerabilidades de divulgación de información.
  • 1 vulnerabilidad de denegación de servicio.
  • 1 vulnerabilidad de incorrecta limitación de rutas de directorio (Directory/Path transversal).
  • 4 vulnerabilidades de otro tipo.
La nota de seguridad calificada como crítica se refieren a:
  • Corrupción de memoria: un atacante puede inyectar código en memoria especialmente diseñado lo que puede provocar una denegación de servicio o la ejecución remota de código.
En cuanto a las etiquetadas con severidad alta una de ellas es una denegación de servicio, otra a un manejo incorrecto de las sesiones en SAP Business Objects y dos actualizaciones de notas de seguridad anteriores.
Más información:
Fuente: INCIBE