SAP ha publicado
varias actualizaciones de seguridad de diferentes productos en su comunicado
mensual, catalogada de Importancia: 5 - Crítica
Recursos afectados:
- SAP Business Client, versión 6.5;
- SAP Diagnostic Agent (LM-Service), versión 7.20;
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), versiones 4.1 y 4.2;
- SAP Enable Now, versiones anteriores a la 1908;
- S4HANA Sales (S4CORE), versiones 1.0, 1.01, 1.02, 1.03 y 1.04;
- SAP Treasury and Risk Management (EA-FINSERV), versiones 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18 y 8.0;
- SAP NetWeaver Application Server Java (J2EE-Framework), versiones - 7.1, 7.2, 7.3, 7.31, 7.4 y 7.5;
- SAP Quality Management (S4CORE), versiones 1.0, 1.01, 1.02 y 1.03;
- SAP UI 700, versión 2.0;
- SAP NetWeaver AS Java, versiones 7.10, 7.20, 7.30, 7.31, 7.4 y 7.5;
- SAP Treasury and Risk Management (S4CORE), versiones 1.01, 1.02, 1.03 y 1.04;
Recomendación
Visitar el portal de
soporte de SAP e instalar las actualizaciones o los parches necesarios, según
indique el fabricante.
Detalle de
vulnerabilidades corregidas
SAP, en su
comunicación mensual de parches de seguridad, ha emitido un total de 11 notas
de seguridad y 4 actualizaciones, siendo 4 de ellas de severidad crítica, 1 alta,
y 10 medias.
El tipo de
vulnerabilidades publicadas se corresponde a los siguientes:
- 1 vulnerabilidad
de SQL injection,
- 1 vulnerabilidad
de escalada de privilegios,
- 3
vulnerabilidades de inyección de comandos del sistema operativo,
- 1 vulnerabilidad
de falta de comprobación de XML;
- 1 vulnerabilidad
de comprobación de autorización;
- 1 vulnerabilidad
de otro tipo.
Las notas de
seguridad más destacadas se refieren a:
Se han encontrado
nuevos bypass múltiples sobre la lista blanca definida para Linux/Unix que
podría permitir a un atacante eliminar, modificar o ejecutar comandos
arbitrarios en el agente. Se ha asignado el identificador CVE-2019-0330 para
esta vulnerabilidad.
Se ha incluido una
validación XML adicional en SAP Business Objects Business Intelligence
Platform, ya que los documentos XML procedentes de fuentes no fiables no se
filtraban correctamente para detectar contenido malicioso, lo que podía
permitir a un atacante la divulgación de información o la denegación del
servicio. Se ha reservado el identificador CVE-2019-0396 para esta
vulnerabilidad.
Para el resto de
vulnerabilidades, se han asignado los siguientes identificadores:
CVE-2019-0385, CVE-2019-0386, CVE-2019-0384, CVE-2019-0389, CVE-2019-0382,
CVE-2019-0393, CVE-2019-0390, CVE-2019-0388, CVE-2019-0391 y CVE-2019-0383.
Más información
- Incibe-cert_ https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-noviembre-2019
Fuente: HISPASEC