Actualización de seguridad de SAP de septiembre 2018
- SAP Business Client, versión 6.5
- SAP Business One, versiones 9.2 y 9.3
- SAP NetWeaver BI, versiones 7.30,7.31,7.40,7.41 y 7.50
- SAP HANA, versiones 1.0 y 2.0
- SAP WebDynpro, versiones 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS Java, versiones de la 7.10 a la 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Hybris Commerce, versiones 6.*
- SAP Plant Connectivity, versión 15.0
- SAP Adaptive Server Enterprise, versión 16.0
- SAP HCM Fiori "People Profile" (GBX01HR), versión 6.0
- SAP Mobile Platform, versión 3.0
- SAP Enterprise Financial Services, versión 6.05, 6.06, 6.16, 6.17, 6.18, 8.0
- SAP Business One Android application, versión 1.2
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, de las cuales 1 es una actualización de una nota de seguridad publicada con anterioridad, 3 de severidad alta, 9 de de severidad media y 1 de severidad baja.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
- 1 vulnerabilidad de denegación de servicio
- 3 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de falta de comprobación de autorización
- 2 vulnerabilidades de Cross-Site Scripting
- 2 vulnerabilidades de incorrecta validación de XML
- 3 vulnerabilidades de otras tipologías
Las vulnerabilidades más relevantes son las siguientes:
-
La vulnerabilidad de divulgación de información en SAP Business ONE y SAP HANA, podría permitir a un atacante revelar información adicional (datos del sistema, información de depuración, etc.) que ayudaría a aprender sobre un sistema y planificar otros ataques. Esto podría desembocar en la divulgación de información, escalamiento de privilegios y otros ataques. Se ha asignado el código CVE-2018-2458 para esta vulnerabilidad.
-
Un atacante puede utilizar la vulnerabilidad de incorrecta validación de XML, presente en SAP BEx Web Java Runtime Export Web Service, para enviar solicitudes XML especialmente diseñadas y no autorizadas que serían procesadas por el analizador XML. El atacante obtendría acceso no autorizado al sistema de archivos del SO. Se ha asignado el código CVE-2018-2462 para esta vulnerabilidad.
-
Una vulnerabilidad de falta de comprobación de autorización en SAP ECC Sales Support podría permitir a un atacante el acceso a un servicio sin necesidad de autorización y emplear funciones de servicio con acceso restringido. Esto puede desembocar en la divulgación de información, escalado de privilegios y otros ataques.