Actualización de seguridad de SAP de septiembre 2018

Fecha de publicación 12/09/2018
Importancia
4 - Alta
Recursos Afectados
  • SAP Business Client, versión 6.5
  • SAP Business One, versiones 9.2 y 9.3
  • SAP NetWeaver BI, versiones 7.30,7.31,7.40,7.41 y 7.50
  • SAP HANA, versiones 1.0 y 2.0
  • SAP WebDynpro, versiones 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP NetWeaver AS Java, versiones de la 7.10 a la 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP Hybris Commerce, versiones 6.*
  • SAP Plant Connectivity, versión 15.0
  • SAP Adaptive Server Enterprise, versión 16.0
  • SAP HCM Fiori "People Profile" (GBX01HR), versión 6.0
  • SAP Mobile Platform, versión 3.0
  • SAP Enterprise Financial Services, versión 6.05, 6.06, 6.16, 6.17, 6.18, 8.0
  • SAP Business One Android application, versión 1.2
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, de las cuales 1 es una actualización de una nota de seguridad publicada con anterioridad, 3 de severidad alta, 9 de de severidad media y 1 de severidad baja.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 1 vulnerabilidad de denegación de servicio
  • 3 vulnerabilidades de divulgación de información
  • 3 vulnerabilidades de falta de comprobación de autorización
  • 2 vulnerabilidades de Cross-Site Scripting
  • 2 vulnerabilidades de incorrecta validación de XML
  • 3 vulnerabilidades de otras tipologías

Las vulnerabilidades más relevantes son las siguientes:

  • La vulnerabilidad de divulgación de información en SAP Business ONE y SAP HANA, podría permitir a un atacante revelar información adicional (datos del sistema, información de depuración, etc.) que ayudaría a aprender sobre un sistema y planificar otros ataques. Esto podría desembocar en la divulgación de información, escalamiento de privilegios y otros ataques. Se ha asignado el código CVE-2018-2458 para esta vulnerabilidad.

  • Un atacante puede utilizar la vulnerabilidad de incorrecta validación de XML, presente en SAP BEx Web Java Runtime Export Web Service, para enviar solicitudes XML especialmente diseñadas y no autorizadas que serían procesadas por el analizador XML. El atacante obtendría acceso no autorizado al sistema de archivos del SO. Se ha asignado el código CVE-2018-2462 para esta vulnerabilidad.

  • Una vulnerabilidad de falta de comprobación de autorización en SAP ECC Sales Support podría permitir a un atacante el acceso a un servicio sin necesidad de autorización y emplear funciones de servicio con acceso restringido. Esto puede desembocar en la divulgación de información, escalado de privilegios y otros ataques.

Encuesta valoración

Listado de referencias
SAP Security Patch Day – September 2018
SAP Cyber Threat Intelligence report – September 2018
SAP Security Notes September ‘18: Critical Bug in SAP HANA XS
Etiquetas