SAP ha publicado
varias actualizaciones de seguridad de diferentes productos en su comunicado
mensual, catalogadas de Importancia: 5 – Crítica
Detalle
de vulnerabilidades
SAP, en su
comunicación mensual de parches de seguridad, ha emitido un total de 10 notas
de seguridad de las cuales, 3 son actualizaciones de notas de seguridad
publicadas con anterioridad, siendo 2 de ellas de severidad crítica, 4 de de
severidad alta y 4 de severidad media.
El tipo de vulnerabilidades publicadas
se corresponde a los siguientes:
·
2
vulnerabilidades de inyección de código
·
2
vulnerabilidad de divulgación de información
·
1
vulnerabilidad de denegación de servicio
·
1
vulnerabilidad de falta de Cross-Site Scripting
·
1
vulnerabilidad de incorrecta validación de XML
·
3
vulnerabilidades de otras tipologías
Las vulnerabilidades más relevantes
son las siguientes:
- · Divulgación de información en SAP Business One que permitiría a un atacante obtener información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a aprender sobre el sistema y a planificar otros ataques.
- · Un atacante no autorizado podría ejecutar comandos de forma remota con el mismo nivel de privilegios que el servicio que lo ejecutó, pudiendo acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos de un servidor SAP, como por ejemplo al código fuente de la aplicación, la configuración y los archivos críticos del sistema. Esto le permitiría obtener información técnica crítica y de negocio.
- · Un atacante puede utilizar una vulnerabilidad de denegación de servico en SAP Internet Sales para terminar un proceso de un componente vulnerable, haciendo que nadie pueda utilizarlo. Esto afectaría a los procesos de negocio, disponibilidad del sistema y por lo tanto a la reputación del negocio.
Recursos
afectados:
1. SAP Business One,
versiones 9.2 y 9.3
2. SAP Internet Sales,
versiones 7.30,7.31, 7.32, 7.33 y 7.54
3. SAP Business Objects
CMC, BI Launchpad, Friorified BI Launchpad, versiones 4.0, 4.10, 4.20 y 4.30
4. SAP Business Objects
Enterprise, versiones 4.0 y 4.1
5. SAP UI5
6. SAP UI5 Handler
7. SAP Identity
Management, version 8.0
Recomendación
Visitar el portal de soporte de SAP e
instalar actualizaciones o parches necesarios según indique el fabricante.
Más
información
·
SAP
Security Patch Day – June 2018 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=495289255
·
SAP
Security Notes June ‘18: What to Do with Critical Re-released Notes? https://www.onapsis.com/blog/SAP-Security-Notes-June-18-critical-rereleased-notes
·
SAP
Cyber Threat Intelligence report – June 2018 https://erpscan.com/press-center/blog/sap-cyber-threat-intelligence-report-june-2018/
Fuente: INCIBE
