Inicio / Alerta Temprana / Avisos Seguridad / Actualización de seguridad de SAP de junio 2018

Actualización de seguridad de SAP de junio 2018

Fecha de publicación: 
14/06/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business One, versiones 9.2 y 9.3
  • SAP Internet Sales, versiones 7.30,7.31, 7.32, 7.33 y 7.54
  • SAP Business Objects CMC, BI Launchpad, Friorified BI Launchpad, versiones 4.0, 4.10, 4.20 y 4.30
  • SAP Business Objects Enterprise, versiones 4.0 y 4.1
  • SAP UI5
  • SAP UI5 Handler
  • SAP Identity Management, version 8.0
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad de las cuales, 3 son actualizaciones de notas de seguridad publicadas con anterioridad, siendo 2 de ellas de severidad crítica, 4 de de severidad alta y 4 de severidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de inyección de código
  • 2 vulnerabilidad de divulgación de información
  • 1 vulnerabilidad de denegación de servicio
  • 1 vulnerabilidad de falta de Cross-Site Scripting
  • 1 vulnerabilidad de incorrecta validación de XML
  • 3 vulnerabilidades de otras tipologías

Las vulnerabilidades más relevantes son las siguientes:

  • Divulgación de información en SAP Business One que permitiría a un atacante obtener información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a aprender sobre el sistema y a planificar otros ataques.
  • Un atacante no autorizado podría ejecutar comandos de forma remota con el mismo nivel de privilegios que el servicio que lo ejecutó, pudiendo acceder a archivos y directorios arbitrarios ubicados en un sistema de archivos de un servidor SAP, como por ejemplo al código fuente de la aplicación, la configuración y los archivos críticos del sistema. Esto le permitiría obtener información técnica crítica y de negocio.
  • Un atacante puede utilizar una vulnerabilidad de denegación de servico en SAP Internet Sales para terminar un proceso de un componente vulnerable, haciendo que nadie pueda utilizarlo. Esto afectaría a los procesos de negocio, disponibilidad del sistema y por lo tanto a la reputación del negocio.

Encuesta valoración