Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de octubre 2018

Fecha de publicación 10/10/2018
Importancia
4 - Alta
Recursos Afectados
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.1 y 4.2.
  • SAP Business Client, versión 6.5.
  • Proyecto Gardener, versión 0.12.2.
  • SAP Plant Connectivity, versiones 15.0, 15.1 y 15.2.
  • SAP Records Management, versiones 7.0 a 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 y 7.51.
  • SAP HANA, versiones 1.0 y 2.0.
  • SAP Netweaver Application Server para ABAP, versiones desde 7.0 hasta 7.02, 7.30, 7.31, 7.40 y desde 7.50 hasta 7.53.
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.10 y 4.20.
  • SAP Data Services, versión 4.2.
  • SAP Plant Connectivity, versión 15.0.
  • SAP BusinessObjects BI Platform Servers (Software Development Kit), versiones 4.1 y 4.2.
  • SAP Adaptive Server Enterprise (ASE), versiones 15.7 y 16.0.
  • SAP Fiori 1.0 para SAP ERP HCM (Approve Leave Request, versión 2), versión 1.0.
  • SAP Fiori 1.0 para SAP ERP HCM (Approve Leave Request, versión 2), versión 1.0.
  • SAP Adaptive Server Enterprise (ASE), versiones 15.7 y 16.0.
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 15 notas de seguridad, de las cuales 4 son actualizaciones de notas de seguridad publicadas con anterioridad (repartidas entre una de severidad crítica, 2 de severidad alta y una de severidad media), 1 de severidad crítica, 2 de severidad alta y 8 de severidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 3 vulnerabilidades de divulgación de información.
  • 1 vulnerabilidad de actualizaciones de seguridad para el control del navegador Chromium.
  • 1 vulnerabilidad de aislamiento incorrecto de la red.
  • 1 vulnerabilidad de denegación de servicio.
  • 1 vulnerabilidad de aprovechamiento de privilegios.
  • 2 vulnerabilidades de validación incorrecta de XML.
  • 3 vulnerabilidades de Cross-Site Scripting.
  • 1 vulnerabilidad de divulgación de ruta de archivo.
  • 2 vulnerabilidades de Cross-Site Request Forgery.

Las vulnerabilidades más relevantes son las siguientes:

  • SAP BusinessObjects BI Suite tiene una vulnerabilidad de divulgación de información. Un atacante puede usarlo para revelar información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a conocer el sistema y planificar otros ataques. Se ha asignado el identificador CVE-2018-2471 para esta vulnerabilidad.
  • El proyecto Gardener tiene una vulnerabilidad de aislamiento incorrecto de la red, lo que puede permitir que un atacante actuando como administrador en un shoot cluster comprometa el seed cluster correspondiente u otros seed clusters controlados por este seed cluster. Se ha asignado el identificador CVE-2018-2475 para esta vulnerabilidad.
  • SAP Plant Connectivity (PCo) tiene una vulnerabilidad de denegación de servicio (DoS) que podría permitir a un atacante finalizar un proceso del componente vulnerable. Se han asignado los identificadores CVE-2018-12585 y CVE-2018-12086 para esta vulnerabilidad.

El resto de identificadores CVE presentes en el informe mensual de octubre de 2018 de SAP son: CVE-2018-2465, CVE-2018-2470, CVE-2018-2472, CVE-2018-2466, CVE-2017-12069, CVE-2018-2467, CVE-2018-2469, CVE-2018-2474, CVE-2018-2474 y CVE-2018-2468.

Encuesta valoración