Actualización de seguridad de SAP de octubre 2018
- SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2.
- SAP Business Client, versión 6.5.
- Proyecto Gardener, versión 0.12.2.
- SAP Plant Connectivity, versiones 15.0, 15.1 y 15.2.
- SAP Records Management, versiones 7.0 a 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 y 7.51.
- SAP HANA, versiones 1.0 y 2.0.
- SAP Netweaver Application Server para ABAP, versiones desde 7.0 hasta 7.02, 7.30, 7.31, 7.40 y desde 7.50 hasta 7.53.
- SAP BusinessObjects Business Intelligence Platform, versiones 4.10 y 4.20.
- SAP Data Services, versión 4.2.
- SAP Plant Connectivity, versión 15.0.
- SAP BusinessObjects BI Platform Servers (Software Development Kit), versiones 4.1 y 4.2.
- SAP Adaptive Server Enterprise (ASE), versiones 15.7 y 16.0.
- SAP Fiori 1.0 para SAP ERP HCM (Approve Leave Request, versión 2), versión 1.0.
- SAP Fiori 1.0 para SAP ERP HCM (Approve Leave Request, versión 2), versión 1.0.
- SAP Adaptive Server Enterprise (ASE), versiones 15.7 y 16.0.
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 15 notas de seguridad, de las cuales 4 son actualizaciones de notas de seguridad publicadas con anterioridad (repartidas entre una de severidad crítica, 2 de severidad alta y una de severidad media), 1 de severidad crítica, 2 de severidad alta y 8 de severidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
- 3 vulnerabilidades de divulgación de información.
- 1 vulnerabilidad de actualizaciones de seguridad para el control del navegador Chromium.
- 1 vulnerabilidad de aislamiento incorrecto de la red.
- 1 vulnerabilidad de denegación de servicio.
- 1 vulnerabilidad de aprovechamiento de privilegios.
- 2 vulnerabilidades de validación incorrecta de XML.
- 3 vulnerabilidades de Cross-Site Scripting.
- 1 vulnerabilidad de divulgación de ruta de archivo.
- 2 vulnerabilidades de Cross-Site Request Forgery.
Las vulnerabilidades más relevantes son las siguientes:
- SAP BusinessObjects BI Suite tiene una vulnerabilidad de divulgación de información. Un atacante puede usarlo para revelar información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a conocer el sistema y planificar otros ataques. Se ha asignado el identificador CVE-2018-2471 para esta vulnerabilidad.
- El proyecto Gardener tiene una vulnerabilidad de aislamiento incorrecto de la red, lo que puede permitir que un atacante actuando como administrador en un shoot cluster comprometa el seed cluster correspondiente u otros seed clusters controlados por este seed cluster. Se ha asignado el identificador CVE-2018-2475 para esta vulnerabilidad.
- SAP Plant Connectivity (PCo) tiene una vulnerabilidad de denegación de servicio (DoS) que podría permitir a un atacante finalizar un proceso del componente vulnerable. Se han asignado los identificadores CVE-2018-12585 y CVE-2018-12086 para esta vulnerabilidad.
El resto de identificadores CVE presentes en el informe mensual de octubre de 2018 de SAP son: CVE-2018-2465, CVE-2018-2470, CVE-2018-2472, CVE-2018-2466, CVE-2017-12069, CVE-2018-2467, CVE-2018-2469, CVE-2018-2474, CVE-2018-2474 y CVE-2018-2468.