SAP ha publicado
varias actualizaciones de seguridad de diferentes productos en su comunicado
mensual, catalogada de Importancia: 5 - Crítica
Recursos afectados:
- SAP NetWeaver Process Integration:
- AS2 Adapter, versiones 1.0 y 2.0;
- B2B Toolkit, versiones 1.0 y 2.0.
- SAP Landscape Management enterprise edition, versión 3.0;
- SAP IQ, versión 16.1;
- SAP SQL Anywhere, versión 17.0;
- SAP Dynamic Tiering, versiones 1.0 y 2.0;
- SAP Customer Relationship Management (Email Management):
- S4CRM, versiones 100 y 200;
- BBPCRM, versiones 700, 701, 702, 712, 713 y 714.
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), versiones 420 y 430;
- SAP Financial Consolidation, versiones 10.0 y 10.1;
- SAP Kernel (RFC):
- KRNL32NUC, KRNL32UC y KRNL64NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
- KRNL64UC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49 y 7.73;
- KERNEL, versiones 7.21, 7.49, 7.53, 7.73 y 7.76.
Detalle de
vulnerabilidades:
SAP, en su
comunicación mensual de parches de seguridad, ha emitido un total de 7 notas de
seguridad y 1 actualización, siendo 2 de ellas de severidad crítica, 1 alta, y
5 medias.
El tipo de
vulnerabilidades publicadas se corresponde a los siguientes:
- 3 vulnerabilidades de Cross-Site Scripting (XSS);
- 1 vulnerabilidad de denegación de servicio;
- 1 vulnerabilidad de divulgación de información;
- 1 vulnerabilidad de falta de comprobación de autorización;
- 1 vulnerabilidad de falta de autenticación;
- 1 vulnerabilidad de otro tipo.
Las notas de
seguridad calificadas como críticas y alta se refieren a:
La configuración del
adaptador AS2 permite dos proveedores de seguridad diferentes. Dependiendo del
proveedor seleccionado, existe una vulnerabilidad de falta de autenticación que
puede conducir al robo o manipulación de datos confidenciales, así como al
acceso a funcionalidades administrativas y otras funciones privilegiadas. Se ha
asignado el identificador CVE-2019-0379 para esta vulnerabilidad.
SAP Landscape
Management Enterprise permite la definición de operaciones personalizadas, cada
una de ellas asignadas a un proveedor específico. También se pueden añadir más
parámetros personalizados a dicho proveedor. Este producto es vulnerable a una
divulgación de información si estos parámetros personalizados cumplen unas
condiciones específicas. Se ha asignado el identificador CVE-2019-0380 para
esta vulnerabilidad.
Existe una
vulnerabilidad en el algoritmo de búsqueda de archivos que afecta a distintos
productos. El algoritmo busca en demasiados directorios, incluso si están fuera
del ámbito de aplicación. La explotación de esta vulnerabilidad permitiría a un
atacante leer, sobrescribir, eliminar y exponer archivos arbitrarios del
sistema. También puede llevar al secuestro de DLL, así como a la elevación de
privilegios. Se ha asignado el identificador CVE-2019-0381 para esta
vulnerabilidad.
Para el resto de
vulnerabilidades, se han asignado los siguientes identificadores:
CVE-2019-0368, CVE-2019-0374, CVE-2019-0375, CVE-2019-0376, CVE-2019-0377,
CVE-2019-0378, CVE-2019-0370, CVE-2019-0369, CVE-2019-0365 y CVE-2019-0367.
Recomendación
Visitar el portal de
soporte de SAP e instalar las actualizaciones o los parches necesarios, según
indique el fabricante.
Más información
SAP Security Patch
Day – October 2019
SAP Security Notes
October '19: Only Nine New Notes, but Two HotNews
Fuente: INCIBE