Actualización de seguridad de SAP de septiembre de 2023
- BusinessObjects Business Intelligence Platform (Promotion Management), versiones 420 y 430;
- CommonCryptoLib, version 8;
- NetWeaver AS ABAP, SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise (ver veriones del Kernel en referencias);
- Web Dispatcher, versiones 7.22EXT, 7.53, 7.54, 7.77, 7.85, 7.89;
- Content Server, versiones 6.50, 7.53, 7.54;
- HANA Database, versión 2.0;
- Host Agent, versión 722;
- Extended Application Services and Runtime (XSA), versiones SAP_EXTENDED_APP_SERVICES 1;
- XS_ADVANCED_RUNTIME 1.00;
- Product–SAPSSOEXT, versión 17.
El resto de productos afectados por vulnerabilidades no críticas se pueden consultar en el aviso del fabricante.
SAP han publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 13 notas de seguridad, siendo 2 de severidad crítica, 2 altas, 7 medias y 2 bajas. También, se han actualizado 5 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas publicadas son:
- divulgación de información,
- control de acceso inadecuado,
- validación insuficiente del tipo de archivo,
- denegación de servicio,
- inyección de código,
- falta de validación,
- fallo en la configuración de seguridad.
Las vulnerabilidades de severidad crítica afectan a SAP BusinessObjects Business Intelligence Platform y SAP CommonCryptoLib, y su explotación podría permitir, a un atacante, acceder a información sensible, así como una escalada de privilegios que le permita abusar de funcionalidades restringidas.
Se han asignado los identificadores CVE-2023-40622 y CVE-2023-40309, respectivamente.
