Fecha de publicación: 13/07/2022
Importancia:
Alta
Recursos afectados:
- SAP BusinessObjects Business Intelligence Platform (Central Management Console), versiones 420 y 430;
- SAP Business One, versión 10.0;
- SAP Business One License service API, versión 10.0;
- SAP Business Client, versión -6.5;
- SAP NetWeaver y ABAP Platform, versiones KERNEL 7.49, 7.77, 7.81, 7.85, 7.86, 7.87, 7.88, KRNL64NUC 7.49, KRNL64UC 7.49, SAP_ROUTER 7.53, 7.22;
- SAP PowerDesigner Proxy 16.7, versión 16.7.
Descripción:
SAP ha publicado el boletín de julio de 2022 con parches de seguridad y actualizaciones de boletines anteriores para sus productos. Algunos de estos parches resuelven vulnerabilidades de severidad alta en los productos listados en la sección de recursos afectados. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.
Solución:
Aplicar los parches de seguridad publicados por SAP desde la página oficial de soporte, según las indicaciones del fabricante.
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:
- Política de actualizaciones de software
- Minimiza los riesgos de un ataque: ¡actualiza el software!
- Buenas prácticas en el área de informática
- Evalúa los riesgos de tu empresa en tan solo 5 minutos
- Cómo prevenir incidentes en los que intervienen dispositivos móviles
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), y el formulario web.
Detalle:
En el boletín de seguridad de este mes se corrigen o actualizan algunas vulnerabilidades de severidad alta.
Una de ellas afecta a escenarios de integración de SAP B1 y SAP HANA y de no corregirse podría permitir la de divulgación de información. La vulnerabilidad permite que un atacante con privilegios obtenga acceso a información sensible, como credenciales de cuentas de administrador, que podrían utilizarse para lanzar ataques posteriores.
Otro parche resuelve un problema en la API del servicio de licencias de SAP B1. En este caso, faltaba la comprobación de autenticación, lo que podría permitir a un atacante no autenticado enviar solicitudes http maliciosas a través de la red para romper la aplicación y hacerla inaccesible.
La tercera nota de prioridad alta corrige una vulnerabilidad de inyección de código en el cliente SAP B1. La vulnerabilidad permite a un atacante con pocos privilegios controlar el comportamiento de la aplicación.
La última vulnerabilidad corregida afecta a la plataforma a la consola de gestión central (CMC) de la Plataforma de Inteligencia de Negocios SAP Business Objects. En este caso permite a un atacante no autenticado obtener información de tokens a través de la red, que de otra manera estaría restringida. Si se explota con éxito, el atacante puede comprometer completamente la aplicación.
Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.
Etiquetas:
Actualización, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.