SAP ha publicado varias
actualizaciones de seguridad de diferentes productos en su comunicado mensual,
catalogada Importancia: 5 - Crítica
Recursos afectados:
-
SAP
Business Client, versión 6.5
-
Solution
Manager, versión 7.2
- SAP
E-Commerce (Business-to-Consumer application), versiones: SAP-CRMJAV,
SAP-CRMWEB, SAP-SHRWEB, SAP-SHRJAV, SAP-CRMAPP, SAP-SHRAPP 7.30, 7.31, 7.32,
7.33, 7.54
- SAP
R/3 Enterprise Application, versiones: EA-APPL
600, 602, 603, 604, 605, 606, 616, 617
-
SAP
BusinessObjects Business Intelligence Platform (Administration Console),
versiones 4.2, 4.3
- SAP
NetWeaver Process Integration (PI Integration Builder Web UI), versiones:
SAP_XIESR: 7.10 hasta 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; SAP_XITOOL: 7.10
hasta 7.11, 7.30, 7.31, 7.40, 7.50, SAP_XIPCK 7.10 hasta 7.11, 7.20, 7.3
-
SAP
Work Manager and SAP Inventory Manager, versiones SAP Work Manager 6.3.0,
6.4.0, 6.5
-
SAP
NetWeaver AS ABAP Platform, versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT,
KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT,
7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73, KERNEL 7.21, 7.45,
7.49, 7.53, 7.73
- SAP
NetWeaver Process Integration, versiones SAP_XIESR: 7.10 hasta 7.11, 7.20,
7.30, 7.31, 7.40, 7.50; SAP_XITOOL: 7.10 hasta 7.11, 7.20, 7.30, 7.31, 7.40,
7.50
-
SAP
HANA Extended Application Services (advanced model), versión 1
- SAP
Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE
1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16,
6.17, 6.18, 8.0; Bank/CFM 4.63_20
Recomendación
·
Visitar
el portal de soporte
de SAP e instalar las actualizaciones o los parches necesarios, según
indique el fabricante.
·
Para
solucionar la vulnerabilidad de severidad alta, se recomienda revisar la nota
del fabricante, donde se detallan varios pasos manuales que incluyen no sólo
cómo instalar el componente de software que la soluciona, sino también las
dependencias de otras notas de seguridad de SAP que se deben aplicar en primer
lugar y, por último, cómo realizar pasos manuales para proteger y cifrar
correctamente las credenciales.
Detalle de vulnerabilidades
SAP, en su comunicación mensual de
parches de seguridad, ha emitido un total de 11 notas de seguridad y 3
actualizaciones, siendo 1 de ellas de severidad crítica, 1 alta, 11 medias y 1 baja.
El tipo de vulnerabilidades publicadas
se corresponde a los siguientes:
·
5
vulnerabilidades de falta de verificación de autorización.
·
5
vulnerabilidades de divulgación de información.
·
1
vulnerabilidad de escalada de privilegios.
·
2
vulnerabilidades de otro tipo.
Las notas de seguridad calificadas
como crítica y alta se refieren a:
1º)Cuando SAP Business Client se está ejecutando en un
Chromium obsoleto, un atacante podría conseguir el acceso a uno de sus usuarios
para ejecutar código Javascript malicioso. El impacto real depende de qué
vulnerabilidad de Chromium está siendo explotada.
2º)Una vulnerabilidad podría permitir a un atacante obtener
credenciales de usuario válidas y la capacidad de crear cuentas de usuario
privilegiadas, lo que supone un alto impacto en la confidencialidad. Se ha
asignado el identificador CVE-2019-0291 para esta vulnerabilidad de severidad
alta.
Los identificadores asignados para el
resto de vulnerabilidades son: CVE-2019-0308, CVE-2019-0311, CVE-2019-0303,
CVE-2019-0315, CVE-2019-0314, CVE-2019-0304, CVE-2018-0312, CVE-2019-0316,
CVE-2019-0305, CVE-2019-0306, CVE-2019-2484 y CVE-2019-0307.
Más información
Fuente: INCIBE