Publicaron una vulnerabilidad que permitiría a un atacante remoto afectar servicios de SAP NetWeaver 7.30 efectuando ataques de inyección SQL.

La plataforma NetWeaver compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial. 

 
El problema reside en que determinadas entradas relacionadas con la función "ABAD0_DELETE_DERIVATION_TABLE" no se filtran adecuadamente antes de ser empleadas en una consulta SQL. Esto podría emplearse para manipular consultas SQL y provocar inyecciones de código SQL. 
 
La vulnerabilidad se ha reportado en la versión 7.30 (Basis 720 SP 0, Kernel 720 patch 68), aunque otras versiones podrían verse afectadas. 
 
SAP ha publicado la nota de seguridad 1840249 en relación a este problema: 
https://service.sap.com/sap/support/notes/1840249 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/09/adobe-explica-la-seguridad-de-flash-en.html#comments
 
Más información:
 
[DSECRG-13-016] SAP NetWeaver ABAD0_DELETE_DERIVATION_TABLE – SQL Injection
http://erpscan.com/advisories/dsecrg-13-016-sap-netweaver-abad0_delete_derivation_table

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar