[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2022\/11\/patch-noviembre.png” alt=”cloud-public” title_text=”patch-noviembre” admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”]<\/p>\n
Nuevamente traemos el an\u00e1lisis mensual de las notas de seguridad publicadas por SAP en el security patch day. Desde Oreka IT seguimos considerando importante continuar con la divulgaci\u00f3n de estas actualizaciones ya que es la mejor forma de explicar la criticidad de mantener actualizadas las aplicaciones corporativas.<\/p>\n
En cuanto al an\u00e1lisis cuantitativo, en esta nueva publicaci\u00f3n del security patch day SAP ha publicado 12 notas, de las cuales 6 son de importancia\u00a0high<\/em>, y 3 de ellas han sido clasificadas como\u00a0hot news<\/em>.<\/p>\n Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.<\/p>\n A continuaci\u00f3n, analizaremos estas 6 notas:<\/strong><\/p>\n 3243924 \u2013 Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform<\/strong><\/p>\n En algunos workflows de SAP BusinessObjects BI Platform un atacante autenticado con privilegios bajos puede interceptar un objeto serializado en los par\u00e1metros y sustituirlo por uno serializado malicioso, lo que lleva a la deserializaci\u00f3n de datos que no son de confianza. Pudiendo comprometer la Confidencialidad, Integridad y Disponibilidad del sistema.<\/p>\n Para resolver esta vulnerabilidad SAP a liberado un nuevo SP que se encuentra en la propia nota 3243924 en el apartado Support Package Patches, adem\u00e1s SAP documenta un workaround que nos permite mitigar esta vulnerabilidad.<\/p>\n 3249990 \u2013 Multiple Vulnerabilities in SQlite bundled with SAPUI5<\/strong><\/p>\n El framework SAPUI5 usa SQLite < 3.39.2, que en ocasiones permite el desbordamiento de los l\u00edmites del array. Esto podr\u00eda ser explotado por un usuario a trav\u00e9s de la red, lo que tiene un impacto considerable en la disponibilidad de las aplicaciones que usan SAPUI5.<\/p>\n Esta vulnerabilidad ha sido resuelta en las versiones de SAP UI5:<\/p>\n 3239152 \u2013 Account hijacking through URL Redirection vulnerability in SAP Commerce login form<\/strong><\/p>\n Vulnerabilidad por la que un atacante puede cambiar el contenido de una p\u00e1gina de inicio de sesi\u00f3n de SAP Commerce a trav\u00e9s de una URL manipulada. Pudiendo inyectar un c\u00f3digo que les permita redirigir los env\u00edos desde el formulario de inicio de sesi\u00f3n afectado a su propio servidor. Esto les permitir\u00eda robar credenciales y secuestrar cuentas. Un ataque exitoso podr\u00eda comprometer la confidencialidad, integridad y disponibilidad del sistema.<\/p>\n 3256571 \u2013 Multiple vulnerabilities in SAP NetWeaver Application Server ABAP and ABAP Platform<\/strong><\/p>\n Debido a una validaci\u00f3n de entrada insuficiente, SAP NetWeaver Application Server ABAP permite que un atacante con privilegios altos use una funci\u00f3n remota para eliminar un archivo que de otro modo estar\u00eda restringido. En caso de explotar esta vulnerabilidad, un atacante puede comprometer completamente la integridad y disponibilidad de la aplicaci\u00f3n.<\/p>\n SAP ha publicado la nota 3256571 que al implementarla nos permite resolver esta vulnerabilidad, as\u00ed como un nuevo SP de SAP_BASIS donde se incluye esta correcci\u00f3n.<\/p>\n 3226411 \u2013 Privilege escalation vulnerability in SAP SuccessFactors attachment API for Mobile Application<\/strong><\/p>\n Debido a errores de configuraci\u00f3n, las APIs de archivos adjuntos de SAP SuccessFactors permiten que un atacante con privilegios de usuario realice actividades con privilegios de administrador en la red. Estas APIs se utilizaron en la aplicaci\u00f3n SF Mobile. En caso de conseguir explotar esta vulnerabilidad, el atacante puede leer\/escribir archivos adjuntos. Comprometiendo as\u00ed la confidencialidad e integridad de la aplicaci\u00f3n.<\/p>\n Para resolver esta vulnerabilidad SAP a liberado una nueva versi\u00f3n de la aplicaci\u00f3n para IOS y Android. Adem\u00e1s, detallan los pasos a seguir para mitigar la vulnerabilidad de manera inmediata.<\/p>\n 3263436 \u2013 Arbitrary Code Execution vulnerability in SAP 3D Visual Enterprise Author and SAP 3D Visual Enterprise Viewer<\/strong><\/p>\n La nota 3263436 trata una vulnerabildad descubierta en las aplicaciones SAP 3D Visual Enterprise Author y SAP 3D Visual Enterprise Viewer, por la que, debido a un error en la gesti\u00f3n de memoria cuando la v\u00edctima abre un fichero no confiable se podr\u00eda ejecutar c\u00f3digo malicioso, con diferentes consecuencias, pudiendo obtener privilegios en el equipo o acceso a datos de la memoria.<\/p>\n Para resolverlo SAP a publicado nuevas versiones de la aplicaci\u00f3n, que previenen esta vulnerabilidad.<\/p>\n En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:<\/strong><\/p>\n\n