Actualización de seguridad de SAP de noviembre 2017

Fecha de publicación: 
15/11/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Text Conversion
  • LaMa 3.0
  • LVM 2.1
  • SAP Management Console
  • SAP NetWeaver Java Workflow (JWF)
  • SCM-APO-INT
  • SAPUI5
  • SAP BusinessObjects Analysis Edition for OLAP
  • SAP CRM Mail Form Editor
  • SAPGUI for HTML
  • SAP ERP Learning Solution Content Player
  • SAP Note Assistant
  • SAP NetWeaver Knowledge Management XMLForms
  • TranslationSupport application
  • SAP NetWeaver Instance Agent Service
  • SNOTE
  • SAP HANA Extended Application Services (XS Advanced)
  • NwSapSetup and Installation self extracting program
  • Composite Application Framework Authorization Tool
  • SAP HANA
  • SAP BI Mobile Server
  • SAP NetWeaver AS Java
Descripción: 

SAP ha publicado varias actualizaciones de seguridad en varios productos en su comunicado mensual correspondiente al mes de noviembre de 2017.

Solución: 

Visite el portal de soporte de SAP para localizar e instalar los parches de seguridad que el fabricante haya proporcionado.

Detalle: 

SAP, en su comunicado mensual de actualizaciones de productos ha publicado 13 notas de seguridad y 9 actualizaciones de notas previamente publicadas. Del total de notas publicadas, 3 de ellas son de severidad crítica, 1 de severidad alta y 18 calificadas con severidad media.

Las notas de seguridad calificadas como críticas se refieren a:

  • Vulnerabilidad inyección de código en Text Conversion, que se ha actualizado con respecto a la reportada en 2016 con algunas instrucciones con correcciones adicionales.
  • Divulgación de información/Escalado de privilegios en LaMa 3.0, lo cual podría permitir a un atacante acceder a información confidencial bajo ciertas condiciones.
  • Divulgación de información/Escalado de privilegios en LVM 2.1 y LaMa 3.0, lo cual podría permitir a un atacante acceder a información confidencial bajo ciertas condiciones.

La nota de seguridad de severidad alta:

  • Describe una vulnerabilidad que podría permitir a una atacante el acceso total a la consola de gestión SAP.