SAP ha publicado varias actualizaciones de seguridad de
diferentes productos en su comunicado mensual, catalogada de Importancia: 4 - Alta
Recursos afectados:
·
SAP
BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2.
·
SAP
Business Client, versión 6.5.
·
Proyecto
Gardener, versión 0.12.2.
·
SAP
Plant Connectivity, versiones 15.0, 15.1 y 15.2.
·
SAP
Records Management, versiones 7.0 a 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 y
7.51.
·
SAP
HANA, versiones 1.0 y 2.0.
·
SAP
Netweaver Application Server para ABAP, versiones desde 7.0 hasta 7.02, 7.30,
7.31, 7.40 y desde 7.50 hasta 7.53.
·
SAP
BusinessObjects Business Intelligence Platform, versiones 4.10 y 4.20.
·
SAP
Data Services, versión 4.2.
·
SAP
Plant Connectivity, versión 15.0.
·
SAP
BusinessObjects BI Platform Servers (Software Development Kit), versiones 4.1 y
4.2.
·
SAP
Adaptive Server Enterprise (ASE), versiones 15.7 y 16.0.
·
SAP
Fiori 1.0 para SAP ERP HCM (Approve Leave Request, versión 2), versión 1.0.
·
SAP
Fiori 1.0 para SAP ERP HCM (Approve Leave Request, versión 2), versión 1.0.
·
SAP
Adaptive Server Enterprise (ASE), versiones 15.7 y 16.0.
Recomendación
Visitar el portal de soporte de SAP e instalar las
actualizaciones o los parches necesarios, según indique el fabricante.
Detalle de
vulnerabilidades
SAP, en su comunicación mensual de parches de seguridad,
ha emitido un total de 15 notas de seguridad, de las cuales 4 son actualizaciones
de notas de seguridad publicadas con anterioridad (repartidas entre una de
severidad crítica, 2 de severidad alta y una de severidad media), 1 de
severidad crítica, 2 de severidad alta y 8 de severidad media.
El
tipo de vulnerabilidades publicadas se corresponde a los siguientes:
- 3
vulnerabilidades de divulgación de información.
- 1 vulnerabilidad
de actualizaciones de seguridad para el control del navegador Chromium.
- 1 vulnerabilidad
de aislamiento incorrecto de la red.
- 1 vulnerabilidad
de denegación de servicio.
- 1 vulnerabilidad
de aprovechamiento de privilegios.
- 2
vulnerabilidades de validación incorrecta de XML.
- 3
vulnerabilidades de Cross-Site Scripting.
- 1 vulnerabilidad
de divulgación de ruta de archivo.
- 2
vulnerabilidades de Cross-Site Request Forgery.
Las
vulnerabilidades más relevantes son las siguientes:
1) SAP BusinessObjects
BI Suite tiene una vulnerabilidad de divulgación de información. Un atacante
puede usarlo para revelar información adicional (datos del sistema, información
de depuración, etc.) que le ayudaría a conocer el sistema y planificar otros ataques.
Se ha asignado el identificador CVE-2018-2471 para esta vulnerabilidad.
2) El proyecto Gardener
tiene una vulnerabilidad de aislamiento incorrecto de la red, lo que puede
permitir que un atacante actuando como administrador en un shoot cluster
comprometa el seed cluster correspondiente u otros seed clusters controlados
por este seed cluster. Se ha asignado el identificador CVE-2018-2475 para esta
vulnerabilidad.
3) SAP Plant
Connectivity (PCo) tiene una vulnerabilidad de denegación de servicio (DoS) que
podría permitir a un atacante finalizar un proceso del componente vulnerable.
Se han asignado los identificadores CVE-2018-12585 y CVE-2018-12086 para esta
vulnerabilidad.
El resto de identificadores CVE
presentes en el informe mensual de octubre de 2018 de SAP son: CVE-2018-2465,
CVE-2018-2470, CVE-2018-2472, CVE-2018-2466, CVE-2017-12069, CVE-2018-2467,
CVE-2018-2469, CVE-2018-2474, CVE-2018-2474 y CVE-2018-2468.
Más información
- Certsi https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-octubre-2018
Fuente:
INCIBE