Recursos afectados:
- SAP Business Client, versión 6.5
- SAP Landscape Management, versiones VCM 3.0
- ABAP Platform (SLD Registration), versiones
KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22,
7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21,
7.21EXT, 7.22, 7.22EXT, 7.49. 7.73; KERNEL desde 7.21 hasta 7.22, 7.45,
7.49, 7.53, 7.73, 7.75
- SAP Disclosure Management, versión 10.01
- Solution Tools Plug-In (ST-PI); versiones
2008_1_700, 2008_1_710, 740
- ABAP Platform, versiones Krnl64nuc 7.74, krnl64UC
7.73, 7.74, Kernel 7.73, 7.74, 7.75
- SAP_BASIS, versiones desde 7.00 hasta 7.02, 7.10,
7.11, 7.30, 7.31, 7.40, 7.50, 7.51
- SAP HANA Extended Application Services, modelo
avanzado (XS advanced), versión 1.0
- SAP Disclosure Management, versión 10.01 Stack 1301
- SAP BusinessObjects Business Intelligence Platform
Servers (Enterprise), versiones 4.2, 4.3
- SAP Manufacturing Integration and Intelligence,
versiones 15.0, 15.1 y 15.2
- SAP BusinessObjects Business Intelligence Platform,
versiones 4.2, 4.3
- SAP Business One Mobile Android App, versión 1.2.12
- ABAP Platform (SAP Basis), versiones desde 7.0 hasta
7.02, desde 7.10 hasta 7.11, 7.30, 7.31, 7.40, desde 7.50 hasta 7.53,
desde 7.74 hasta 7.75
- SAP Enterprise Architecture Designer para SAP HANA,
versión 1.0
- SAP WebIntelligence BILaunchPad (Enterprise),
versiones 4.10, 4.20
Detalle de actualización
SAP, en su comunicación mensual de parches de seguridad,
ha emitido un total de 16 notas de seguridad, siendo 2 de ellas de severidad
crítica, 4 altas y 10 medias.
El tipo de vulnerabilidades publicadas se corresponde a
los siguientes:
- 2 vulnerabilidades de falta de comprobación de
autorización.
- 3 vulnerabilidades de XSS (Cross-Site Scripting).
- 3 vulnerabilidades de revelación de información.
- 1 vulnerabilidad de falta de autenticación.
- 2 vulnerabilidades de falta de validación de XML.
- 5 vulnerabilidades de otro tipo.
Las notas de seguridad calificadas como críticas se
refieren a:
- Actualizaciones de seguridad para el control del
navegador Chromium suministradas con SAP Business Client.
- Comprobación de falta de autenticación en el modelo
avanzado de SAP HANA Extended Application Services que permitiría a un
atacante no solo leer, modificar o eliminar información sensible, sino
también obtener funcionalidades con privilegios elevados. Se ha reservado
el identificador CVE-2019-0261 para esta vulnerabilidad.
Las notas de seguridad calificadas como altas se refieren
a:
- Vulnerabilidad de tipo XXE (XML External Entity) en
SLD Registration de ABAP Platform. Se ha reservado el identificador
CVE-2019-0265 para esta vulnerabilidad.
- Falta de autorización en SAP Disclosure Management.
Se ha reservado el identificador CVE-2019-0258 para esta vulnerabilidad.
- Divulgación de información relacionada con el
sistema de archivos del servidor de bases de datos.
- ABAP Platform proporciona acceso a Easy Access Menu.
Se ha reservado el identificador CVE-2019-0255 para esta vulnerabilidad.
Para el resto de vulnerabilidades, se han reservado los
identificadores CVE-2019-0266, CVE-2019-0254, CVE-2019-0259, CVE-2019-0267,
CVE-2019-0251, CVE-2019-0256, CVE-2019-0257 y CVE-2019-0262.
Recomendación
- Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
- Incibe-cert https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-febrero-2019
Fuente: INCIBE