Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de octubre de 2024

Fecha de publicación 08/10/2024
Identificador
INCIBE-2024-0498
Importancia
5 - Crítica
Recursos Afectados
  • SAP Commerce Backoffice;
  • SAP NetWeaver AS for Java;
  • SAP NetWeaver BW (BEx Analyzer);
  • SAP NetWeaver Enterprise Portal (KMC);
  • SAP NetWeaver Application Server for ABAP and ABAP Platform;
  • SAP PDCE;
  • SAP HANA Client;
  • SAP S/4 HANA (Manage Bank Statements);
  • SAP Student Life Cycle Management (SLcM);
  • SAP BusinessObjects Business Intelligence Platform;
  • SAP Enterprise Project Connection.
Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad: 2 de severidad alta y 4 de severidad media. También se han actualizado 6 notas de seguridad: una de ellas crítica de meses anteriores, otra alta y el resto medias.

Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es alta, son:

  • SAP Enterprise Project Connection emplea JMSSink, que es vulnerable a la deserialización de datos no confiables cuando el atacante tiene acceso de escritura a la configuración en todas las versiones de Log4j 1.x o si la configuración hace referencia a un servicio LDAP al que el atacante tiene acceso. El atacante puede proporcionar una configuración TopicConnectionFactoryBindingName, haciendo que JMSSink realice peticiones JNDI que resulten en la ejecución remota de código. Se ha asignado el identificador CVE-2022-23302 para esta vulnerabilidad.
  • SAP BusinessObjects Business Intelligence Platform permite que un usuario autenticado envíe una solicitud especialmente diseñada a Web Intelligence Reporting Server para descargar cualquier archivo de la máquina que aloja el servicio, lo que provoca un alto impacto en la confidencialidad de la aplicación. Se ha asignado el identificador CVE-2024-37179 para esta vulnerabilidad.
Listado de referencias
SAP Security Patch Day – October 2024
SAP Patch Day: October 2024
Etiquetas