Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Múltiples vulnerabilidades en SAP NetWeaver

Múltiples vulnerabilidades en SAP NetWeaver

Por 1 comentario

George Nosenko, Alexander Polyakov,Evgeny Neyolov y Dmitry Chastukhin han descubierto varias vulnerabilidades en SAP NetWeaver que podrían permitir a atacantes remotos realizar ataques cross-site scripting, denegación de servicio e incluso revelaciónes de información sensible.
NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.
A continuación una breve descripción de los fallos:
  • La primera de las vulnerabilidades, con CVE-2014-1963, en la que un error al no validar correctamente los datos de entrada, podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de vectores no especificados.
    https://service.sap.com/sap/support/notes/1773912
         
  • La segunda de las vulnerabilidades, con CVE-2014-1961, en la que un error no especificado en el módulo ‘Portal WebDynPro‘, podría ser aprovechado por un atacante remoto para revelar información sensible del sistema.
    https://service.sap.com/sap/support/notes/1852146
         
  • Al igual que la anterior, esta vulnerabilidad, con CVE-2014-1960, podría ser aprovechada para revelar información sensible, en este caso debido a un error de falta de comprobación de autorización.
    https://service.sap.com/sap/support/notes/1828885
         
  • La cuarta de las vulnerabilidades, con CVE-2014-1964, en la que un error de validación de datos de entrada en ‘SAP NetWeaver Integration Repository‘, podría ser aprovechado por un atacante remoto para afectar parcialmente a la integridad del sistema a través de un enlace especialmente manipulado.
    https://service.sap.com/sap/support/notes/1788080
       
  • Por último, y al igual que la anterior, esta vulnerabilidad, con CVE-2014-1965, podría ser también aprovechada por un atacante remoto para afectar parcialmente a la integridad del sistema a través de un enlace especialmente manipulado. En este caso debido a un error de validación de datos de entrada en ‘SAP NetWeaver Integration Repository‘.
    https://service.sap.com/sap/support/notes/1442517

Se recomienda aplicar los parches indicados.
Más información:
ERPSCAN-14-001
http://erpscan.com/advisories/erpscan-14-001-sap-netweaver-message-server-dos/
ERPSCAN-14-002
http://erpscan.com/advisories/erpscan-14-002-sap-portal-webdynpro-path-disclosure/
ERPSCAN-14-004
http://erpscan.com/advisories/erpscan-14-004-sap-netweaver-solution-manager-missing-authorization-check-information-disclosure/
ERPSCAN-14-005
http://erpscan.com/advisories/erpscan-14-005-sap-netweaver-dir-error-xss/
ERPSCAN-14-006
http://erpscan.com/advisories/erpscan-14-006-sap-netweaver-pip-xss/
Juan Sánchez

jasanchez@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6986 publicaciones.

Interacciones con los lectores

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.