28 de febrero de 2019

SAP. Actualización de seguridad de febrero de 2019

    SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
  • SAP Business Client, versión 6.5
  • SAP Landscape Management, versiones VCM 3.0
  • ABAP Platform (SLD Registration), versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49. 7.73; KERNEL desde 7.21 hasta 7.22, 7.45, 7.49, 7.53, 7.73, 7.75
  • SAP Disclosure Management, versión 10.01
  • Solution Tools Plug-In (ST-PI); versiones 2008_1_700, 2008_1_710, 740
  • ABAP Platform, versiones Krnl64nuc 7.74, krnl64UC 7.73, 7.74, Kernel 7.73, 7.74, 7.75
  • SAP_BASIS, versiones desde 7.00 hasta 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51
  • SAP HANA Extended Application Services, modelo avanzado (XS advanced), versión 1.0
  • SAP Disclosure Management, versión 10.01 Stack 1301
  • SAP BusinessObjects Business Intelligence Platform Servers (Enterprise), versiones 4.2, 4.3
  • SAP Manufacturing Integration and Intelligence, versiones 15.0, 15.1 y 15.2
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.2, 4.3
  • SAP Business One Mobile Android App, versión 1.2.12
  • ABAP Platform (SAP Basis), versiones desde 7.0 hasta 7.02, desde 7.10 hasta 7.11, 7.30, 7.31, 7.40, desde 7.50 hasta 7.53, desde 7.74 hasta 7.75
  • SAP Enterprise Architecture Designer para SAP HANA, versión 1.0
  • SAP WebIntelligence BILaunchPad (Enterprise), versiones 4.10, 4.20
Detalle de actualización
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 16 notas de seguridad, siendo 2 de ellas de severidad crítica, 4 altas y 10 medias.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
  • 2 vulnerabilidades de falta de comprobación de autorización.
  • 3 vulnerabilidades de XSS (Cross-Site Scripting).
  • 3 vulnerabilidades de revelación de información.
  • 1 vulnerabilidad de falta de autenticación.
  • 2 vulnerabilidades de falta de validación de XML.
  • 5 vulnerabilidades de otro tipo.
Las notas de seguridad calificadas como críticas se refieren a:
  • Actualizaciones de seguridad para el control del navegador Chromium suministradas con SAP Business Client.
  • Comprobación de falta de autenticación en el modelo avanzado de SAP HANA Extended Application Services que permitiría a un atacante no solo leer, modificar o eliminar información sensible, sino también obtener funcionalidades con privilegios elevados. Se ha reservado el identificador CVE-2019-0261 para esta vulnerabilidad.
Las notas de seguridad calificadas como altas se refieren a:
  • Vulnerabilidad de tipo XXE (XML External Entity) en SLD Registration de ABAP Platform. Se ha reservado el identificador CVE-2019-0265 para esta vulnerabilidad.
  • Falta de autorización en SAP Disclosure Management. Se ha reservado el identificador CVE-2019-0258 para esta vulnerabilidad.
  • Divulgación de información relacionada con el sistema de archivos del servidor de bases de datos.
  • ABAP Platform proporciona acceso a Easy Access Menu. Se ha reservado el identificador CVE-2019-0255 para esta vulnerabilidad.
Para el resto de vulnerabilidades, se han reservado los identificadores CVE-2019-0266, CVE-2019-0254, CVE-2019-0259, CVE-2019-0267, CVE-2019-0251, CVE-2019-0256, CVE-2019-0257 y CVE-2019-0262.
Recomendación
  • Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Más información
Fuente: INCIBE