Actualización de seguridad de SAP de febrero de 2023

Fecha de publicación: 15/02/2023

Importancia:
Alta

Recursos afectados:

  • SAP Host Agent Service, versiones 7.21, 7.22.
  • SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP), versiones 420, 430.
  • SAP BusinessObjects Business Intelligence platform (CMC), versiones 420, 430.

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Febrero 2023.

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 21 notas de seguridad, siendo 3 notas de severidad alta, 18 de severidad media. También se han actualizado 5 notas de seguridad de meses anteriores.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • escalada de privilegios,
  • divulgación de información,
  • carga de archivos sin restricciones.

Las 3 vulnerabilidades de severidad alta afectan a SAP Host Agent y SAP BusinessObjects Business Intelligence. Una de ellas podría permitir a un atacante no  autenticado, con acceso local a un puerto de servidor asignado al servicio de agente de host de SAP, enviar una solicitud de servicio web especialmente diseñada con un comando arbitrario del sistema operativo. Este comando se ejecuta con privilegios de administrador y puede afectar la confidencialidad, integridad y disponibilidad de un sistema. Las otras dos vulnerabilidades podrían permitir a un atacante que requiera autenticación generar un alto impacto en la confidencialidad y un impacto limitado en la integridad de la aplicación.

Encuesta valoración

Etiquetas:
Actualización, SAP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.