SAP ha publicado varias
actualizaciones de seguridad de diferentes productos en su comunicado mensual,
catalogada de Importancia: 5 - Crítica
Recursos afectados:
·
SAP
Diagnostic Agent (LM-Service), versión 7.20.
·
Tests
de SAP NetWeaver Process Integration ABAP (SAP Basis), versiones 7.0, 7.1, 7.3,
7.31, 7.4 y 7.5.
·
SAP
Commerce Cloud (ex SAP Hybris Commerce) (HY_COM), versiones 6.3, 6.4, 6.5, 6.6,
6.7, 1808 y 1811.
·
OpenUI5,
versiones anteriores e incluyendo 1.38.39, 1.44.39, 1.52.25, 1.60.6 y 1.63.0.
·
SAP
Information Steward, versión 4.2.
·
ABAP
Server y ABAP Platform (SAP Basis), versiones 7.31, 7.4 y 7.5.
·
SAP
BusinessObjects Business Intelligence Platform (BI Workspace) (Enterprise),
versiones 4.1, 4.2 y 4.3.
·
SAP
NetWeaver para Java Application Server (Web Container), versiones de engineapi
(7.1, 7.2, 7.3, 7.31, 7.4 y 7.5) y de servercode (7.2, 7.3, 7.31, 7.4 y 7.5).
·
SAP
ERP HCM (SAP_HRCES), versión 3.
·
SAP
NetWeaver Application Server para Java (Startup Framework), versiones 7.21,
7.22, 7.45, 7.49, y 7.53.
·
SAP
Gateway, versiones 7.5, 7.51, 7.52 y 7.53.
Recomendación
Visitar el portal de soporte
de SAP e instalar las actualizaciones o los parches necesarios, según
indique el fabricante.
Detalle de vulnerabilidades
SAP, en su comunicación mensual de
parches de seguridad, ha emitido un total de 11 notas de seguridad, siendo 1 de
ellas de severidad crítica, 1 alta y 9 medias.
El tipo de vulnerabilidades publicadas
se corresponde a los siguientes:
·
4
vulnerabilidades de Cross-Site Scripting (XSS).
·
1
vulnerabilidad de inyección de código.
·
1
vulnerabilidad de inyección de comandos del sistema operativo.
·
1
vulnerabilidad de denegación de servicio.
·
1
vulnerabilidad de divulgación de información.
·
3
vulnerabilidades de otro tipo.
Las notas de seguridad calificadas
como crítica y alta se refieren a:
Se ha identificado una vulnerabilidad
crítica en SolMan Diagnostic Agent (SMDAgent), perteneciente a Solution Manager
(SolMan), encargado de gestionar las comunicaciones de eventos de
monitorización y diagnóstico entre cada sistema SAP y el Solution Manager. Esta
vulnerabilidad permitiría a un atacante comprometer el sistema SAP por
completo. Se ha reservado el identificador CVE-2019-0330 para esta
vulnerabilidad.
En la herramienta Extended Computer
Aided Test Tool (eCATT), utilizada para la realización de pruebas de testing
automatizadas, se ha encontrado una vulnerabilidad de severidad alta que
permitiría realizar una inyección de código, impactando en la integridad y
disponibilidad del sistema. Se ha reservado el identificador CVE-2019-0328 para
esta vulnerabilidad.
Más información
- Cert https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-julio-2019
Fuente: Hispasec