Inicio / Protege tu empresa / Avisos Seguridad / Actualizaciones críticas de seguridad en SAP

Actualizaciones críticas de seguridad en SAP

Fecha de publicación: 
10/09/2015
Importancia: 
4 - Alta
Recursos afectados: 
  • SAP HANA
  • SAP NetWeaver
  • SAP Foreign Trade
Descripción: 

El pasado martes SAP ha publicado una actualización de seguridad que corrige 20 fallos de seguridad, de los cuales 16 son críticos. Además incluye actualizaciones para 5 fallos detectados con anterioridad.

Los fallos de seguridad detectados afectan a diferentes módulos, componentes y tecnologías. Entre estos afectan a SAP HANA, SAP Foreign Trade y SAP Netweaver.

Solución: 

Insta a tu equipo técnico a actualizar o parchear todos sus productos de SAP, aplicando los parches publicados en esta actualización.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o sigue nuestro perfil de twitter @incibe. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle: 

La actualización de seguridad incluye además de los 25 fallos de seguridad, 7 paquetes de soporte.

El fallo más común entre los detectados consiste en falta de chequeo de autorización, que permite acceder al servicio y utilizarlo sin estar autorizado.

Investigadores de la empresa de seguridad Onapsis han detectado un fallo crítico en SAP HANA que se corrige en esta actualización. Este fallo permitiría a un atacante tomar el control sobre el producto, pudiendo ver, editar e incluso borrar datos. Otro fallo en este producto permitiría la inyección de código en memoria, permitiendo tomar el control o provocar la indisponibilidad del sistema.

Los investigadores de ERPScan han detectado dos fallos críticos en SAP NetWeaver 7.4. Uno de estos fallos es una inyección de código SQL que consiste en que el atacante puede manipular una consulta SQL para recuperar o modificar datos de una base de datos. El otro fallo crítico permite el robo de información de autenticación (cookies, tokens de sesión y otra información crítica que se almacena en los navegadores) con la que suplantar a usuarios legítimos, por ejemplo a un administrador. Como los permisos de los administradores son extensos esto puede comprometer seriamente la seguridad de la aplicación.

Otros fallos detectados permitirán la divulgación de información privada, la ejecución de comandos del sistema operativo o el uso no autorizado de funcionalidades SAP específicas.