Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de noviembre 2018

Fecha de publicación 14/11/2018
Importancia
5 - Crítica
Recursos Afectados
  • SAP HANA Streaming Analytics, versión 2.0
  • SAP Fiori Client
  • Project “Gardener”, versión 0.12.4
  • SAP Disclosure Management, versiones 10.x
  • SAP BusinessObjects BI Platform Server, versiones 4.1 y 4.2
  • SAP_ABA, versiones desde la 7.00 hasta la 7.02, desde la 7.10 hasta la 7.11, desde la 7.30, 7.31, 7.40, 7.50 y 75C hasta la 75D
  • SAP Basis (TREX / BWA installation), versiones desde la 7.0 hasta la 7.02, desde la 710 hasta la 7.11, desde la 7.30, 7.31, 7.40 y 7.50 hasta la 7.53
  • Knowledge Management (XMLForms) in SAP NetWeaver, versiones desde la 7.30, 7.31, 7.40 hasta la 7.50
  • SAP BusinessObjects Business Intelligence, versiones 4.1 y 4.2
  • SAP BusinessObjects Business Intelligence Platform (BIWorkspace) versiones 4.1 y 4.2
  • SAP NetWeaver AS ABAP Business Server Pages
  • SAP NetWeaver (forums), versiones 7.30, 7.31 y 7.40
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2
  • SAP Mobile Secure Android Application, version 6.60.19942.0
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad y 3 actualizaciones, siendo 1 de ellas de severidad crítica, 5 altas y 8 de criticidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 1 vulnerabilidad de inyección de código.
  • 2 vulnerabilidades de cross-site scripting.
  • 2 vulnerabilidades de denegación de servicio.
  • 1 vulnerabilidad de incorrecta validación de XML.
  • 1 vulnerabilidad de redirección de URL.
  • 7 vulnerabilidades de otro tipo.

La nota de seguridad calificada como crítica se refieren a:

  • Una vulnerabilidad en SAP HANA Streaming Analytics podría permitir a un atacante la ejecución remota de código con los mismos permisos que el servicio que los ejecuta, pudiendo así acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos del servidor SAP, incluyendo el código fuente de la aplicación, la configuración y los archivos críticos del sistema, lo que permitiría obtener información crítica técnica y de negocio almacenada en el sistema SAP vulnerable.

En cuanto a las etiquetadas con severidad alta, se tratan de vulnerabilidades del tipo: denegación de servicio, falta de comprobación de autorización y cross-site scripting.

Encuesta valoración