19 de mayo de 2019

Actualización de seguridad de SAP de mayo de 2019

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de  Importancia: 4 - Alta
Recursos afectados:
·        SAP Identity Management (REST Interface), versión 2
·        SAP BusinessObjects Business Intelligence platform (Central Management Server), versiones 4.20, 4.30
·        SAP Treasury and Risk Management, versiones 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 617, 6.18, 8.0
·        SAP E-Commerce (Business-to-Consumer), versiones (SAP-CRMJAV SAP-CRMWEB SAP-SHRWEB SAP-SHRJAV SAP-CRMAPP SAP-SHRAPP) 7.30, 7.31, 7.32, 7.33, 7.54
·        SAP BusinessObjects Business Intelligence platform, versiones 4.2, 4.3
·        Web Dynpro Java, versiones - 6.40, 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
·        SAP Solution Manager system (ST-PI), versiones 2008_1_700, 2008_1_710 y 740
·        Software Component - KRNL32NUC, versiones 7.20 y 7.20EXT
·        Software Component - KRNL32UC, versiones 7.20 y 7.20EXT
·        Software Component - KRNL64NUC, versiones 7.20 y 7.20EXT
·        Software Component - KRNL64UC, versiones 7.20, 7.2L, 7.20EXT y 8.00
·        Software Component - KERNEL, versiones 7.20, 7.2L y 8.00
·        Software Component - SAP BASIS, versiones 46D, 6.40, desde 7.00 hasta 7.02, 7.10, 7.30, 7.31 y 7.40
·        Dbpool of AS JAVA, versiones 6.40, 7.00, 7.01, 7.10, 7.11, 7.20, 7.30, 7.31 y 7.40
·        Dbpool of AS JAVA, versiones 6.40, 7.00, 7.01, 7.10, 7.11, 7.20, 7.30, 7.31 y 7.40
·        Solution Manager, versión 7.2
·        SAP Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0 y Bank/CFM 4.63_20
Recomendación
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle de vulnerabilidades
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad y 6 actualizaciones, siendo 1 de ellas de severidad alta y 13 de criticidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
  • 5 vulnerabilidades de falta de verificación de autorización.
  • 5 vulnerabilidades de revelación de información.
  • 1 vulnerabilidad de escalada de privilegios.
  • 2 vulnerabilidades de otro tipo.
La nota de seguridad calificada como alta se refiere a:
·        Los usuarios pueden, en determinadas condiciones, solicitar la modificación de las asignaciones de funciones o privilegios a través de la versión 2 de la interfaz REST de SAP Identity Management, que de otro modo estaría restringida sólo para su visualización. Se ha asignado el identificador CVE-2019-0301 para esta vulnerabilidad.
Los identificadores asignados para el resto de vulnerabilidades son: CVE-2019-0287, CVE-2019-0280, CVE-2019-0298, CVE-2019-0289, CVE-2019-0293, CVE-2019-0291 y CVE-2018-2484.
Más información
Fuente: INCIBE