Recursos afectados:
- SAP Internet Graphics Server, versiones 7.20,
7.20EXT, 7.45, 7.45, 7.49, 7.53
- SAP MaxDB ODBC driver, versiones 7.9.09.07
- SAP Identity Management, versión 8.0
- SAP NetWeaver Application Server Java Web Container
y HTTP Service
- SAP Netweaver Security Audit Logging, versiones
7.21, 7.21EXT, 7.22, 7.22EXT, 7.40, 7.41, 7.42, 7.45, 7.50
- SAP Enterprise Financial Services
Recomendación
Visitar el portal de soporte de SAP e instalar
actualizaciones o parches necesarios según indique el fabricante.
Detalle de actualizaciones
SAP, en su comunicación mensual de parches de seguridad,
ha emitido un total de 10 notas de seguridad y 1 actualización, siendo 9 de
ellas de severidad media y una baja.
El tipo de vulnerabilidades publicadas se corresponde a
los siguientes:
- 1 vulnerabilidad de carga de archivos no restringida
- 1 vulnerabilidad de inyección de código
- 3 vulnerabilidades de denegación de servicio
- 1 vulnerabilidad de divulgación de información
- 1 vulnerabilidad de falta de validación de XML
- 3 vulnerabilidades de otro tipo
Las vulnerabilidades más relevantes son las siguientes:
- Carga de archivos no restringida en SAP Internet Graphics
Server (IGS) que permitiría a un atacante la carga de cualquier archivo
malicioso.
- Denegación de servicio en SAP Internet Graphics
Server (IGS) Portwatcher y en SAP Internet Graphic Server (IGS) RFC
Listener que permitiría a un atacante impedir que los usuarios accedan a
esos servicios.
Más información
- SAP Security Patch Day – May 2018 https://blogs.sap.com/2018/05/08/sap-security-patch-day-may-2018/
- SAP Security Notes May ‘18: Hidden in Plain Sight https://www.onapsis.com/SAP-Security-Notes-May-18-Hidden-Plain-Sight
- SAP Cyber Threat Intelligence report – May 2018 https://erpscan.com/press-center/blog/sap-cyber-threat-intelligence-report-may-2018/
Fuente: INCIBE