SAP ha publicado varias
actualizaciones de seguridad de diferentes productos en su comunicado mensual,
catalogada de Importancia: 4 - Alta
Recursos
afectados:
·
SAP
Identity Management (REST Interface), versión 2
·
SAP
BusinessObjects Business Intelligence platform (Central Management Server),
versiones 4.20, 4.30
·
SAP
Treasury and Risk Management, versiones 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 617,
6.18, 8.0
·
SAP
E-Commerce (Business-to-Consumer), versiones (SAP-CRMJAV SAP-CRMWEB SAP-SHRWEB
SAP-SHRJAV SAP-CRMAPP SAP-SHRAPP) 7.30, 7.31, 7.32, 7.33, 7.54
·
SAP
BusinessObjects Business Intelligence platform, versiones 4.2, 4.3
·
Web
Dynpro Java, versiones - 6.40, 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
·
SAP
Solution Manager system (ST-PI), versiones 2008_1_700, 2008_1_710 y 740
·
Software
Component - KRNL32NUC, versiones 7.20 y 7.20EXT
·
Software
Component - KRNL32UC, versiones 7.20 y 7.20EXT
·
Software
Component - KRNL64NUC, versiones 7.20 y 7.20EXT
·
Software
Component - KRNL64UC, versiones 7.20, 7.2L, 7.20EXT y 8.00
·
Software
Component - KERNEL, versiones 7.20, 7.2L y 8.00
·
Software
Component - SAP BASIS, versiones 46D, 6.40, desde 7.00 hasta 7.02, 7.10, 7.30,
7.31 y 7.40
·
Dbpool
of AS JAVA, versiones 6.40, 7.00, 7.01, 7.10, 7.11, 7.20, 7.30, 7.31 y 7.40
·
Dbpool
of AS JAVA, versiones 6.40, 7.00, 7.01, 7.10, 7.11, 7.20, 7.30, 7.31 y 7.40
·
Solution
Manager, versión 7.2
·
SAP
Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE
1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16,
6.17, 6.18, 8.0 y Bank/CFM 4.63_20
Recomendación
Visitar el portal de soporte
de SAP e instalar las actualizaciones o los parches necesarios, según
indique el fabricante.
Detalle
de vulnerabilidades
SAP, en su comunicación mensual de
parches de seguridad, ha emitido un total de 7 notas de seguridad y 6
actualizaciones, siendo 1 de ellas de severidad alta y 13 de criticidad media.
El tipo de vulnerabilidades publicadas
se corresponde a los siguientes:
- 5 vulnerabilidades de falta de
verificación de autorización.
- 5 vulnerabilidades de revelación
de información.
- 1 vulnerabilidad de escalada de
privilegios.
- 2 vulnerabilidades de otro tipo.
La nota de seguridad calificada como
alta se refiere a:
·
Los
usuarios pueden, en determinadas condiciones, solicitar la modificación de las
asignaciones de funciones o privilegios a través de la versión 2 de la interfaz
REST de SAP Identity Management, que de otro modo estaría restringida sólo para
su visualización. Se ha asignado el identificador CVE-2019-0301 para esta
vulnerabilidad.
Los identificadores asignados para el
resto de vulnerabilidades son: CVE-2019-0287, CVE-2019-0280, CVE-2019-0298,
CVE-2019-0289, CVE-2019-0293, CVE-2019-0291 y CVE-2018-2484.
Más información
Cert https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-mayo-2019
Fuente: INCIBE