Recursos afectados:
·
SAP
Business Client, versión 6.5
·
SAP
Crystal Reports for Visual Studio, versión 2010
· AP
NetWeaver (SLD Registration) y ABAP Platform (SLD Registration), versiones
KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC
7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT,
7.49, KERNEL desde 7.21 hasta 7.22, 7.45 y 7.49
·
SAP
BASIS, versiones desde la 7.00 hasta la 7.02, desde 7.10 hasta la 7.30, 7.31,
7.40 y desde la 7.50 hasta la 7.53
· SAP
NetWeaver Process Integration (Runtime Workbench y Messaging System), versiones
desde la 7.10 hasta la 7.11 ambas incluidas, 7.31, 7.40 y 7.50
·
SAP
HANA, versiones 1.0 y 2.0
·
AP
Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE
1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16,
6.17, 6.18, 8.0 y Bank/CFM 4.63_20
Detalle de
vulnerabilidades
SAP, en su comunicación mensual de parches de seguridad,
ha emitido un total de 6 notas de seguridad y 3 actualizaciones, siendo 1 de
ellas de severidad crítica, 2 alta y 6 de criticidad media.
El tipo de vulnerabilidades publicadas se corresponde a
los siguientes:
- 2 vulnerabilidades de falta de verificación de
autorización.
- 3 vulnerabilidades de revelación de información.
- 2 vulnerabilidades XML External Entity (XXE).
- 2 vulnerabilidades de otro tipo.
La actualización de seguridad calificada como crítica se
refiere a:
- El navegador Chromium que incluye Sap Business
Client contiene múltiples vulnerabilidades que SAP ha solucionado en esta
actualización.
Las notas de seguridad calificadas como altas se refieren
a:
- SAP Crystal Reports contiene una vulnerabilidad de
revelación de información, un atacante podría revelar información
adicional (datos del sistema, información de depuración, etc.), que le
ayudaría a conocer el sistema y a planificar nuevos ataques. Se ha
reservado el identificador CVE-2019-0285 para esta vulnerabilidad.
- AP NetWeaver Java Application Server tiene una
vulnerabilidad de suplantación, un atacante podría mostrar al usuario
datos ilegibles, cambiar la dirección del remitente, los datos mostrados
en una página y otra información importante. Se ha reservado el
identificador CVE-2019-0283 para esta vulnerabilidad.
- Los identificadores del resto de vulnerabilidades son:
CVE-2019-0265, CVE-2019-0279, CVE-2019-0282, CVE-2019-0284, CVE-2019-0278
y CVE-2018-2484.
Recomendación
- Visitar el portal de soporte de SAP e instalar las
actualizaciones o los parches necesarios, según indique el fabricante.
Más información
·
SAP
Security Patch Day – April 2019 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=517899114
·
SAP
Security Notes April ‘19: SAP Expands XXE Critical Patch to JAVA and HANA https://www.onapsis.com/blog/sap-patch-notes-april-2019
·
SAP
Cyber Threat Intelligence report – April 2019 https://erpscan.io/press-center/blog/sap-cyber-threat-intelligence-report-april-2019/
Fuente: INCIBE