martes, 24 de junio de 2014

Vulnerabilidad en SAP NetWeaver

Se ha anunciado una vulnerabilidad en SAP NetWeaver que podría permitir a atacantes remotos modificar la información de los sistemas SAP e incluso llegar a comprometer toda la información de la compañía.

NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

El problema reside en el componente System Landscape Directory o SLD (incluido en todos los SAP JAVA Application Servers). SLD actúa como repositorio central de información de las aplicaciones.

El mecanismo empleado para añadir nuevos sistemas al SLD no está adecuadamente asegurado por defecto, lo que puede dar lugar a que un atacante remoto sin autenticar pueda interactuar con el SLD y por el diseño de su arquitectura, podría llegar al compromiso total del sistema.

SAP ha publicado la SAP Note 1939334 para proporcionar versiones actualizadas de los componentes afectados. Los parches pueden descargarse desde:

Más información:

[Onapsis Security Advisory 2014-020] SAP SLD Information Tampering


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada