Actualización de seguridad de SAP de noviembre 2018
Fecha de publicación 14/11/2018
Importancia
5 - Crítica
Recursos Afectados
- SAP HANA Streaming Analytics, versión 2.0
- SAP Fiori Client
- Project “Gardener”, versión 0.12.4
- SAP Disclosure Management, versiones 10.x
- SAP BusinessObjects BI Platform Server, versiones 4.1 y 4.2
- SAP_ABA, versiones desde la 7.00 hasta la 7.02, desde la 7.10 hasta la 7.11, desde la 7.30, 7.31, 7.40, 7.50 y 75C hasta la 75D
- SAP Basis (TREX / BWA installation), versiones desde la 7.0 hasta la 7.02, desde la 710 hasta la 7.11, desde la 7.30, 7.31, 7.40 y 7.50 hasta la 7.53
- Knowledge Management (XMLForms) in SAP NetWeaver, versiones desde la 7.30, 7.31, 7.40 hasta la 7.50
- SAP BusinessObjects Business Intelligence, versiones 4.1 y 4.2
- SAP BusinessObjects Business Intelligence Platform (BIWorkspace) versiones 4.1 y 4.2
- SAP NetWeaver AS ABAP Business Server Pages
- SAP NetWeaver (forums), versiones 7.30, 7.31 y 7.40
- SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2
- SAP Mobile Secure Android Application, version 6.60.19942.0
Descripción
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.
Solución
Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.
Detalle
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad y 3 actualizaciones, siendo 1 de ellas de severidad crítica, 5 altas y 8 de criticidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
- 1 vulnerabilidad de inyección de código.
- 2 vulnerabilidades de cross-site scripting.
- 2 vulnerabilidades de denegación de servicio.
- 1 vulnerabilidad de incorrecta validación de XML.
- 1 vulnerabilidad de redirección de URL.
- 7 vulnerabilidades de otro tipo.
La nota de seguridad calificada como crítica se refieren a:
- Una vulnerabilidad en SAP HANA Streaming Analytics podría permitir a un atacante la ejecución remota de código con los mismos permisos que el servicio que los ejecuta, pudiendo así acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos del servidor SAP, incluyendo el código fuente de la aplicación, la configuración y los archivos críticos del sistema, lo que permitiría obtener información crítica técnica y de negocio almacenada en el sistema SAP vulnerable.
En cuanto a las etiquetadas con severidad alta, se tratan de vulnerabilidades del tipo: denegación de servicio, falta de comprobación de autorización y cross-site scripting.
Listado de referencias
Etiquetas