Publicadas las actualizaciones de seguridad de diciembre en productos SAP
- SAP NetWeaver AS JAVA (P2P Cluster Communication) versiones 7.11, 7.20, 7.30, 7.31, 7.40, 7.50;
- SAP BW4HANA, versiones - 100, 200.
SAP ha publicado el boletín de seguridad mensual correspondiente al mes de diciembre. En él la empresa informa de que varios de sus productos están afectados por vulnerabilidades de seguridad, algunas de ellas consideradas de carácter crítico, por lo que SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.
Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte según las indicaciones del fabricante.
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:
- Política de actualizaciones de software
- Minimiza los riesgos de un ataque: ¡actualiza el software!
- Buenas prácticas en el área de informática
- Evalúa los riesgos de tu empresa en tan solo 5 minutos
- Cómo prevenir incidentes en los que intervienen dispositivos móviles
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.
Entre las vulnerabilidades corregidas de carácter crítico en la actualización mensual, se encuentran:
- Falta de controles en la autenticación. Esta vulnerabilidad podría provocar que un ciberdelincuente sin autorización pueda conectarse al puerto P2P del servidor y espiar las comunicaciones entre los elementos del clúster.
- Falta de validación del código XML. Esta vulnerabilidad permitiría a los ciberdelincuentes inyectar entidades XML arbitrarias que permitirían conocer la estructura de los archivos y directorios internos permitiendo la falsificación de solicitudes del lado del servidor, así como la ejecución de ataques de denegación de servicio (DoS).
- Ejecución de código malicioso debido a un error en el proceso de validación de entrada. Un ciberdelincuente podría infectar el dispositivo con software malicioso especialmente diseñado para tomar el control del dispositivo así como comprometer la integridad y disponibilidad del sistema afectado.
Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT.
