SAP ha publicado varias actualizaciones de seguridad de
diferentes productos en su comunicado mensual, catalogada de Importancia: 5 -
Crítica
Recursos afectados:
·
SAP
HANA Streaming Analytics, versión 2.0
·
SAP
Fiori Client
·
Project
“Gardener”, versión 0.12.4
·
SAP
Disclosure Management, versiones 10.x
·
SAP
BusinessObjects BI Platform Server, versiones 4.1 y 4.2
·
SAP_ABA,
versiones desde la 7.00 hasta la 7.02, desde la 7.10 hasta la 7.11, desde la
7.30, 7.31, 7.40, 7.50 y 75C hasta la 75D
·
SAP
Basis (TREX / BWA installation), versiones desde la 7.0 hasta la 7.02, desde la
710 hasta la 7.11, desde la 7.30, 7.31, 7.40 y 7.50 hasta la 7.53
·
Knowledge
Management (XMLForms) in SAP NetWeaver, versiones desde la 7.30, 7.31, 7.40
hasta la 7.50
·
SAP
BusinessObjects Business Intelligence, versiones 4.1 y 4.2
·
SAP
BusinessObjects Business Intelligence Platform (BIWorkspace) versiones 4.1 y
4.2
·
SAP
NetWeaver AS ABAP Business Server Pages
·
SAP
NetWeaver (forums), versiones 7.30, 7.31 y 7.40
·
SAP
BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2
·
SAP
Mobile Secure Android Application, version 6.60.19942.0
Recomendación
Visitar el portal de soporte de SAP e instalar
actualizaciones o parches necesarios según indique el fabricante.
Detalle de
vulnerabilidades
SAP, en su comunicación mensual de
parches de seguridad, ha emitido un total de 11 notas de seguridad y 3
actualizaciones, siendo 1 de ellas de severidad crítica, 5 altas y 8 de
criticidad media.
El tipo de vulnerabilidades publicadas se corresponde a
los siguientes:
·
1
vulnerabilidad de inyección de código.
·
2
vulnerabilidades de cross-site scripting.
·
2
vulnerabilidades de denegación de servicio.
·
1
vulnerabilidad de incorrecta validación de XML.
·
1
vulnerabilidad de redirección de URL.
·
7
vulnerabilidades de otro tipo.
La nota de seguridad calificada como crítica se refieren
a:
Una vulnerabilidad en SAP HANA
Streaming Analytics podría permitir a un atacante la ejecución remota de código
con los mismos permisos que el servicio que los ejecuta, pudiendo así acceder a
archivos y directorios arbitrarios ubicados en un sistema de archivos del
servidor SAP, incluyendo el código fuente de la aplicación, la configuración y
los archivos críticos del sistema, lo que permitiría obtener información
crítica técnica y de negocio almacenada en el sistema SAP vulnerable.
En cuanto a las etiquetadas con
severidad alta, se tratan de vulnerabilidades del tipo: denegación de servicio,
falta de comprobación de autorización y cross-site scripting.
Más información
- SAP Security
Patch Day – November 2018 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=503809832
- SAP Cyber Threat
Intelligence report – November 2018 https://erpscan.com/press-center/blog/sap-cyber-threat-intelligence-report-november-2018/
- SAP Security
Notes November ‘18: The Mobile Client Side Menace https://www.onapsis.com/blog/sap-security-notes-november-18-mobile-client-side-menace
Fuente: INCIBE