Actualización de seguridad de SAP de enero de 2019

Fecha de publicación: 09/01/2019

Importancia:
Crítica

Recursos afectados:

  • SAP Cloud Connector, versiones anteriores a 2.11.3
  • SAP Landscape Management, versiones VCM 3.0
  • SAP BW/4HANA, versión 1.0 (SP08)
  • SAP Financial Consolidation Cube Designer, versiones BOBJ_EADES 8.0, 10.1
  • SAP Commerce (ex. SAP Hybris Commerce), versiones anteriores a 6.7
  • SAP Work Manager, versiones Agentry_SDK 7.0, 7.1
  • SAP CRM WebClient UI, versiones SAPSCORE 1.12; S4FND 1.02; WEBCUIF 7.31, 7.46, 7.47, 7.48, 8.0, 8.01
  • SAP Business Objects Mobile for Android, versiones anteriores a 6.3.5
  • SAP Gateway of ABAP Application Server, versiones SAP_GWFND 7.5, 7.51, 7.52, 7.53; SAP_BASIS 7.5
  • SAP Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0; Bank/CFM 4.63_20

Descripción:

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad, siendo 2 de ellas de severidad crítica, 1 alta y 8 de criticidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de falta de verificación de autorización.
  • 3 vulnerabilidades de cross-site scripting.
  • 3 vulnerabilidades de revelación de información.
  • 2 vulnerabilidades de denegación de servicio de redirección de URL.
  • 1 vulnerabilidad de otro tipo.

Las notas de seguridad calificadas como críticas se refieren a:

  • Dos vulnerabilidades en SAP Cloud Connector podrían permitir a un atacante leer, modificar o eliminar información sensible y acceder a funciones administrativas que requiere privilegios de administrador, debido a una falta de verificación de autorización. También podría permitir la inyección de código, provocando la ejecución de comandos no autorizados, acceso o revelación de información sensible o en denegación de servicio.
  • Una vulnerabilidad en SAP Landscape Management podría permitir que un atacante obtenga las credenciales de un usuario con privilegios elevados.

En cuanto a la etiquetada con severidad alta, se trata de una vulnerabilidad del tipo falta de verificación de autorización.

Encuesta valoración

Etiquetas:
Actualización, SAP, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.