miércoles, 11 de enero de 2017

SAP PARCHES MÚLTIPLE XSS Y VULNERABILIDADES FALTA DE AUTORIZACIÓN

CONOCIMIENTO pertenece al mundo

SAP lanzó el martes su primer conjunto de parches de seguridad mensuales para el año 2017, que se ocupa de numerosas secuencias de comandos entre sitios (XSS) y Desaparecidos verificación de autorización cuestiones a través de sus productos.
El gigante de software de la empresa incluyó 18 Patch Day Notas de seguridad en el conjunto de enero del parches de seguridad, uno de los cuales fue calificado Noticias caliente con una puntuación CVSS de 9,8. SAP también abordó un tema de alto riesgo este mes, junto con 15 Medio, y una bichos baja severidad.
Día Revisión de seguridad de SAP también incluye 4 Notas paquete de apoyo, para un total de 23 vulnerabilidades corregidas en todos los productos, ERPScan, una empresa que se especializa en la obtención de las aplicaciones SAP, explica . Mientras que 2 de las notas son actualizaciones de las notas de seguridad publicada previamente, 4 de ellos fueron puestos en libertad después de que el segundo martes del mes anterior y antes del segundo martes de este mes.
Este mes, SAP resuelve 7 Controles ausentes de autorización, 5 fallas de XSS, 3 errores de directorio transversal, 2 vulnerabilidades de inyección SQL, 2 defectos de ejecución, una Denegación de error de servicio, problema de divulgación de una información, uno XML error entidad externa, y una overflaw Buffer.
El más grave de los problemas fue el overflaw Buffer, que consistía en múltiples vulnerabilidades encontradas en SAP Sybase de Gestión de Activos. Al aprovechar este error, un atacante podría inyectar código malicous en la memoria y causar que una aplicación vulnerable ejecutarlo. Los comandos ejecutados se ejecutaría con los mismos privilegios que el servicio que lo ejecuta.
La vulnerabilidad se puede aprovechar para tomar el control completo de una aplicación, para causar una denegación de servicio, ejecutar comandos arbitrarios, y realizar otras acciones nefastas, dice ERPScan.
Otro tema crítico dirigido este mes fue una vulnerabilidad de inyección SQL (CVSS Base Puntuación: 6,4) en la plataforma de SAP Business Intelligence, lo que podría permitir a un atacante utilizar consultas SQL especialmente diseñados (ataque de inyección SQL) para leer y modificar información sensible de una base de datos, ejecutar operaciones de administración en una base de datos, eliminar los datos o hacer que no esté disponible.
Además, SAP parcheado una vulnerabilidad Cross-Site Scripting (CVSS Base Puntuación: 6,1) en SAP Enterprise Portal Editor de temas, lo que podría permitir a un atacante inyectar un script malicioso en una página.
SAP también se dirigió a una serie de vulnerabilidades descubiertas por los investigadores ERPScan, incluyendo una vulnerabilidad de Denegación de servicio en SAP de sesión único (CVSS Base Puntuación: 7,5), una vulnerabilidad entidad externa XML en SAP NetWeaver Visual Composer (CVSS Base Puntuación: 6,4), una vulnerabilidad Cross-Site Scripting en SAP Enterprise Portal de Colaboración en tiempo real (CVSS Base Puntuación: 6,1), y una vulnerabilidad de inyección SQL en SAP Netweaver UDDI Server (CVSS Base Puntuación: 4,1).
La vulnerabilidad de denegación de servicio en la solución SAP SSO podría permitir que un atacante se bloquee o inundar el servicio, lo que impediría a los usuarios legítimos tengan acceso a todas las aplicaciones vinculadas, ERPScan explica. El inicio de sesión único (Single Sign-On) fue diseñado como un mecanismo que permite al usuario utilizar un conjunto de credenciales de inicio de sesión en lugar de numerosos conjuntos de contraseñas, lo que ofrece niveles de seguridad mejoradas y protección para la empresa y los datos personales sensibles.
tecnología SAP SSO debe ofrecer un acceso seguro a las aplicaciones de negocio SAP y no SAP a través de todo el paisaje, al tiempo que ofrece apoyo a la nube y en las instalaciones escenarios, ofreciendo inicio de sesión único acceso a través de la web, dispositivos móviles, y los clientes de SAP nativas.
Fuente: http: //www.securityweek.com/
CONOCIMIENTO pertenece al mundo

No hay comentarios:

Publicar un comentario

Disqus Shortname

Comments system