SAP: Notas para solucionar vulnerabilidad demostrada en Black Hat 2011 (#bh)
Días pasados informamos sobre la vulnerabilidad demostrada en BlackHat 2011 sobre sistemas SAP, con motor J2EE, que permite a un atacante crear usuarios y promoverlos para darles privilegios de administrador.
Sobre este particular la empresa argentina de seguridad Onapsis publicó un boletín en el cual dan referencia de las nota oficiales con que SAP trata la solución a esta vulnerabilidad.
En la nota 1616259 (Note 1616259 - Briefing at Black Hat conference on August 4th, 2011) dice SAP :
https://service.sap.com/sap/support/notes/1616058 se trata la solución al síntoma que describen así:
La otra nota 1589525 (Note 1589525 - Verb Tampering issues in CTC ) describe como solucionar el síntoma descripto como:
Las notas deberán ser evaluadas por el administrador BASIS (administrador técnico de sistemas SAP) de cada organización quien evaluará con la metodología habitual, el impacto y forma de llevarlo a cabo.
Debe tenerse en cuenta que según informó Alexander Polyakov en 90 días daría a conocer públicamente los detalles de la vulnerabilidad.
(*) El acceso a las notas descriptas es restringido a los profesionales habilitados como clientes de SAP y consultores autorizados por esa empresa.
Raúl de la Redacción de Segu-Info
Sobre este particular la empresa argentina de seguridad Onapsis publicó un boletín en el cual dan referencia de las nota oficiales con que SAP trata la solución a esta vulnerabilidad.
En la nota 1616259 (Note 1616259 - Briefing at Black Hat conference on August 4th, 2011) dice SAP :
Se publicaron dos notas como parte del Día de Parches de Seguridad SAP de Agosto de 2011 para reparar las vulnerabilidades mostradas en esta presentación [BlackHat 2011]. Estas son las notas de seguridad 1589525 y 1616058.En la nota 1616058 Note 1616058 - XSRF possible in SPML Services in AS Java
https://service.sap.com/sap/support/notes/1616058 se trata la solución al síntoma que describen así:
Un usuario malicioso puede ejecutar funciones de aplicaciones web a traves de servicios SPML en un Servidor de Aplicación Java, SAP Netwaver.Y detalla los pasos a seguir.
La otra nota 1589525 (Note 1589525 - Verb Tampering issues in CTC ) describe como solucionar el síntoma descripto como:
Existen problemas con autorizaciones y autenticación en conjunto con metodos HTTP inusuales en CTC (Customer to Cash).y se detallan tres formas de solución.
Las notas deberán ser evaluadas por el administrador BASIS (administrador técnico de sistemas SAP) de cada organización quien evaluará con la metodología habitual, el impacto y forma de llevarlo a cabo.
Debe tenerse en cuenta que según informó Alexander Polyakov en 90 días daría a conocer públicamente los detalles de la vulnerabilidad.
(*) El acceso a las notas descriptas es restringido a los profesionales habilitados como clientes de SAP y consultores autorizados por esa empresa.
Raúl de la Redacción de Segu-Info
buen apunte
ResponderBorrar