SAP ha publicado
varias actualizaciones de seguridad de diferentes productos en su comunicado
mensual, catalogada de Importancia: 5 -
Crítica
Recursos afectados:
1.
SAP
Business Client
2.
SAP
Business One
3.
SAP
Visual Composer
4.
SAP
Business Objects
5.
SAP
Cloud Platform Connector
6.
SAP
Disclosure Management
7.
SAP
Solution Manager
8.
Sybase
PowerBuilder
9.
SMP
10.
Agentry
11.
SAP
Open Switch
12.
SAP
Open Server
13.
SDK
for SAP ASE
14.
SYBASE
SOFTWARE DEV KIT
15.
SYBASE
IQ
16.
SAP
IQ
17.
Sybase
SQL Anywhere
18.
SAP
SQL Anywhere
19.
SAP
SQL Anywhere OnDemand
20.
SAP
ASE
21.
SAP
Replication Server
22.
SYBASE
ECDA
23.
SAP
HANA Smart Data Streaming
24.
SAP
Complex Assembly Manufacturing
25.
SAP
Data Services
26.
SAP
Crystal Reports Server, OEM Edition
27.
SAP
Control Center and SAP Cockpit Framework
Recomendación
Visitar el portal de
soporte de SAP e instalar actualizaciones o parches necesarios según indique el
fabricante.
Detalle de actualización
SAP, en su
comunicación mensual de parches de seguridad, ha emitido un total de 8 notas de
seguridad y 4 actualizaciones, siendo 1 de ellas de severidad crítica, 4 altas
y el resto de criticidad media.
El tipo de
vulnerabilidades publicadas se corresponde a los siguientes:
- 2
vulnerabilidades de inyección de código.
- 2
vulnerabilidades de cross-site scripting.
- 2
vulnerabilidades de divulgación de información.
- 1 vulnerabilidad
de denegación de servicio.
- 1 vulnerabilidad
de incorrecta limitación de rutas de directorio (Directory/Path
transversal).
- 4
vulnerabilidades de otro tipo.
La nota de seguridad
calificada como crítica se refieren a:
- Corrupción de
memoria: un atacante puede inyectar código en memoria especialmente
diseñado lo que puede provocar una denegación de servicio o la ejecución
remota de código.
En cuanto a las
etiquetadas con severidad alta una de ellas es una denegación de servicio, otra
a un manejo incorrecto de las sesiones en SAP Business Objects y dos
actualizaciones de notas de seguridad anteriores.
Más información:
- Certsi https://www.certsi.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-abril-2018
Fuente: INCIBE