Actualización de seguridad de SAP de agosto 2017

Fecha de publicación:

09/08/2017

Importancia:

4 - Alta

Recursos afectados:

SAP NetWeaver AS Java Web Container
Visual composer
SAP BusinessObjects
SAP NetWeaver Java Server
SAP Sybase
SAP CRM WebClient User Interface
SAP CRM IPC Pricing
SAP CRM WebClient UI
SAP NetWeaver Business Client
SAP SRM Live Auction Application
Adobe Document Services
Web Intelligence BI Launchpad
SAP NetWeaver
SAP NetWeaver Logon Application
SAP NetWeaver K.M. Web Page Composer
ABAP Workbench

Descripción:

SAP han corregido múltiples vulnerabilidades de seguridad en diferentes productos.

Solución:

Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de privacidad ha publicado un total de 16 actualizaciones, siendo 3 de ellas de criticidad alta, 11 de criticidad media y 2 calificadas con criticidad baja.

Las notas de seguridad calificadas como altas se refieren a:

Vulnerabilidad de inyección de código en Visual Composer, la cual permite a un atacante introducir código malicioso en el "back end" de la aplicación
Vulnerabilidad de directorio transversal en SAP NetWeaver, la cual afecta a la confidencialidad de la información al permitir al atacante obtener acceso a archivos aleatorios.
Vulnerabilidad Cross-Site en peticiones de AJAX que afecta a SAP BusinessObjects, a través de la cual un atacante podría llegar a inyectar algún tipo de script malicioso dentro de la página.

Referencias:

SAP Security Patch Day – August 2017

SAP Security Notes August 2017: Remote Code Injection Vulnerability in JAVA Component

Etiquetas:

Actualización

SAP

Accesos corporativos

Actualización de seguridad de SAP de agosto 2017

Vulnerabilidad de inyección SQL a través de Django

Múltiples vulnerabilidades en GitLab

Múltiples vulnerabilidades en productos Netgear

Ejecución arbitraria de código en IBM CICS TX

Divulgación de información sensible en HPE NonStop DSM/SCM