SAP ha publicado
varias actualizaciones de seguridad de diferentes productos en su comunicado
mensual, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
1) SAP Business Client,
versión 6.5;
2) SAP Host Agent,
version 7.21;
3) SAP Landscape
Management, versión 3.0;
a) ABAP Server
(utilizado en NetWeaver y Suite/ERP), versiones;
b) utilizando Kernel
7.21 o 7.22, que usa ABAP Server desde 7.00 hasta 7.31;
c) utilizando Kernel
7.45, 7.49 o 7.53, que usa ABAP Server desde 7.40 hasta 7.52;
d) ABAP Platform.
4) SAP ERP, versiones
SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720 y 730;
5) SAP S/4 HANA,
versiones:
a) S4CORE 100, 101, 102,
103, 104;
b) SAP_BASIS 7.50, 7.51,
7.52, 7.53, 7.54.
6) SAP NetWeaver, versiones:
a) 7.30, 7.31, 7.40 y
7.50 (Knowledge Management ICE Service);
b) SAP_BASIS 7.40;
c) SAP_BASIS 702, 730,
731 y 740;
d) 7.30, 7.31, 7.40 y
7.50 (Heap Dump Application);
e) 7.10, 7.11, 7.20,
7.30, 7.31, 7.40 y 7.50 (Guided Procedures).
7) SAP Business Objects
Business Intelligence Platform (CMC), versión 4.2;
8) SAP Mobile Platform,
versión 3.0.
Detalle de la actualización
SAP, en su comunicación mensual de
parches de seguridad, ha emitido un total de 13 notas de seguridad y 2 actualizaciones,
siendo una de las actualizaciones de severidad crítica, 3 notas de severidad
alta, y la otra actualización, junto con el resto de notas, de severidad media.
El tipo de vulnerabilidades publicadas
se corresponde a los siguientes:
- 3 vulnerabilidades de DoS (Denial of Service);
- 2 vulnerabilidades de falta de comprobación de datos
de entrada;
- 2 vulnerabilidades de XSS (Cross-Site Scripting);
- 1 vulnerabilidad de falta de comprobación de
autenticación;
- 1 vulnerabilidad de división de respuesta HTTP;
- 6 vulnerabilidades de otro tipo.
Para estas vulnerabilidades se han
reservado los siguientes identificadores: CVE-2020-6186, CVE-2020-6191,
CVE-2020-6192, CVE-2020-6188, CVE-2020-6193, CVE-2020-6184, CVE-2020-6185,
CVE-2020-6181, CVE-2020-6190, CVE-2020-6183, CVE-2020-6189, CVE-2020-6187 y
CVE-2020-6177. El identificador CVE-2019-0271 se ha asignado.
Recomendación
Visitar el portal de soporte de SAP e
instalar las actualizaciones o los parches necesarios, según indique el
fabricante. https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
Más información
·
SAP
Security Patch Day – February 2020 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=537788812
·
SAP
Security Notes February 2020: Calm Times Are Over—19 New SAP Security Notes and
Root Access at Risk https://www.onapsis.com/blog/sap-security-notes-feb-2020
Fuente: INCIBE