SAP ha publicado
varias actualizaciones de seguridad de diferentes productos en su comunicado
mensual, catalogada de Importancia: 5 -
Crítica
Recursos afectados:
- SAP Supplier Relationship Management Master Data
Management Catalog; Versiones - 3.73, 7.31, 7.32
- SAP MaxDB (liveCache); Versiones - 7.8, 7.9
- SAP HANA Extended Application Services; Versión - 1
- SAP BusinessObjects Business Intelligence Platform;
Versiones - 4.1, 4.2
- SAP BusinessObjects Financial Consolidation;
Versiones - 10.0, 10.1
- SAP ABAP Change and Transport System (CTS);
Versiones - SAP KERNEL 32 NUC, SAP KERNEL 32 Unicode, SAP KERNEL 64 NUC,
SAP KERNEL 64 Unicode 7.21, 7.21EXT, 7.22 and 7.22EXT; SAP KERNEL 7.21,
7.22, 7.45, 7.49, 7.53 and 7.73
- Sybase PowerBuilder; Versión - 12.6
- SMP; Versión - 2.3
- Agentry; Versión - 6.0.54
- SAP Open Switch; Versión - 15.1
- SAP Open Server; Versiones - 15.7, 16.0
- SDK for SAP ASE; Versión - 16.0
- SYBASE SOFTWARE DEV KIT; Versión - 15.7
- SYBASE IQ; Versión - 15.4
- SAP IQ; Versión - 16.0
- Sybase SQL Anywhere; Versiones - 12.0.1. 16.0
- SAP SQL Anywhere; Versión - 17.0
- SAP SQL Anywhere OnDemand; Versión - 1.0
- SAP ASE; Versiones - 15.7, 16.0
- SAP Replication Server; Versión - 15.7
- SYBASE ECDA; Versión - 15.7
- SAP Hana smart data streaming; Versión - 1
- SAP Complex Assembly Manufacturing; Versión - 7.0
- SAP Data Services; Versiones - Todas las versiones
anteriores a DS 4.2
- SAP Identity Management; Versión - 7.2
- SAP Internet Graphics Server (IGS), Versiones -
7.20, 7.20EXT, 7.45, 7.49, 7.53
- Infrastructure for UI add-on for SAP NetWeaver
(UI_Infra), SAP UI Implementation for Decoupled Innovations(UI_700): NW
7.00 Implementation, SAP User Interface Technology (SAP_UI), Versions -
UI_Infra 1.0; SAP_UI 7.4, 7.5, 7.51, 7.52; UI_700 2.0
Recomendación
Visitar el portal de
soporte de SAP e instalar actualizaciones o parches necesarios según indique el
fabricante.
Detalle de vulnerabilidades
SAP, en su
comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de
seguridad de las cuales, 2 son actualizaciones de notas de seguridad publicadas
con anterioridad, 2 de de severidad alta y 10 de severidad media.
El tipo de
vulnerabilidades publicadas se corresponde a los siguientes:
- 2
vulnerabilidades de inyección de código
- 2
vulnerabilidades de divulgación de información
- 1 vulnerabilidad
de Cross-Site Request Forgery
- 1 vulnerabilidad
de Cross-Site Scripting
- 1 vulnerabilidad
de incorrecta validación de XML
- 7
vulnerabilidades de otro tipo
Las vulnerabilidades
más relevantes son las siguientes:
- Una
vulnerabilidad de ausencia de verificación de autorización en SAP SRM MDM
Catalog, podría permitir el acceso a un servicio sin ningún procedimiento
de autorización y la utilización de la funcionalidad del servicio que
tiene acceso restringido. Esto puede llevar a una revelación de
información, elevación de privilegios y otros ataques. Se ha reservado el
código CVE-2018-2449 para esta vulnerabilidad.
- Una
vulnerabilidad SQLi en SAP BI Launchpad Web, un atacante podría leer y
modificar información confidencial en una base de datos, ejecutar
operaciones de administración, destruir datos o hacer que no esté
disponible. En algunos casos, podría acceder a los datos del sistema o
ejecutar comandos del sistema operativo. Se ha reservado el código
CVE-2018-2447 para esta vulnerabilidad.
- Una
vulnerabilidad de corrupción de datos en memoria, en la plataforma SAP
BusinessObjects Business Intelligence, pdría permitir a un atacante usar
esta vulnerabilidad para aprovechar el desbordamiento de búfer e inyectar
código especialmente diseñado. Los comandos ejecutados podrían llevar al
control completo de una aplicación, denegación de servicios, así como
otros ataques. En caso de ejecución de los comandos, el atacante podría
obtener informaión crítica técnica y comercial almacenada en un sistema
SAP, o escalar privilegios. Se ha reservado el código CVE-2015-5237 para
esta vulnerabilidad.
Más información
·
Certsi
https://www.certsi.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-agosto-2018
Fuente: INCIBE