• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Actualización de seguridad de SAP de Mayo de 2019

15/05/2019

=============================================
ACTUALIZACIÓN
Fecha de lanzamiento: 15/05/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual

INFORMACIÓN

SAP Business Suite es un conjunto de programas que permiten a las empresas ejecutar y optimizar distintos aspectos como los sistemas de ventas, finanzas, operaciones bancarias, compras, fabricación, inventarios y relaciones con los clientes. Ofrece la posibilidad de realizar procesos específicos de la empresa o crear módulos independientes para funcionar con otro software de SAP o de otros proveedores. SAP está basado en una plataforma de tecnología integrada llamada NetWeaver.​ La suite puede soportar sistemas operativos, bases de datos, aplicaciones y componentes de hardware de casi cualquier proveedor.

DESCRIPCIÓN

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad y 6 actualizaciones, siendo 1 de ellas de severidad alta y 13 de criticidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

5 vulnerabilidades de falta de verificación de autorización.
5 vulnerabilidades de revelación de información.
1 vulnerabilidad de escalada de privilegios.
2 vulnerabilidades de otro tipo.

La nota de seguridad calificada como alta se refiere a:

Los usuarios pueden, en determinadas condiciones, solicitar la modificación de las asignaciones de funciones o privilegios a través de la versión 2 de la interfaz REST de SAP Identity Management, que de otro modo estaría restringida sólo para su visualización. Se ha asignado el identificador CVE-2019-0301 para esta vulnerabilidad.

Los identificadores asignados para el resto de vulnerabilidades son: CVE-2019-0287, CVE-2019-0280, CVE-2019-0298, CVE-2019-0289, CVE-2019-0293, CVE-2019-0291 y CVE-2018-2484.

SISTEMAS AFECTADOS

- SAP Identity Management (REST Interface), versión 2
- SAP BusinessObjects Business Intelligence platform (Central Management Server), versiones 4.20, 4.30
- SAP Treasury and Risk Management, versiones 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 617, 6.18, 8.0
- SAP E-Commerce (Business-to-Consumer), versiones (SAP-CRMJAV SAP-CRMWEB SAP-SHRWEB SAP-SHRJAV SAP-CRMAPP SAP-SHRAPP) 7.30, 7.31, 7.32, 7.33, 7.54
- SAP BusinessObjects Business Intelligence platform, versiones 4.2, 4.3
- Web Dynpro Java, versiones - 6.40, 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Solution Manager system (ST-PI), versiones 2008_1_700, 2008_1_710 y 740
- Software Component - KRNL32NUC, versiones 7.20 y 7.20EXT
- Software Component - KRNL32UC, versiones 7.20 y 7.20EXT
- Software Component - KRNL64NUC, versiones 7.20 y 7.20EXT
- Software Component - KRNL64UC, versiones 7.20, 7.2L, 7.20EXT y 8.00
- Software Component - KERNEL, versiones 7.20, 7.2L y 8.00
- Software Component - SAP BASIS, versiones 46D, 6.40, desde 7.00 hasta 7.02, 7.10, 7.30, 7.31 y 7.40
- Dbpool of AS JAVA, versiones 6.40, 7.00, 7.01, 7.10, 7.11, 7.20, 7.30, 7.31 y 7.40
- Dbpool of AS JAVA, versiones 6.40, 7.00, 7.01, 7.10, 7.11, 7.20, 7.30, 7.31 y 7.40
- Solution Manager, versión 7.2
- SAP Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0 y Bank/CFM 4.63_20

SOLUCIÓN

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

FUENTE

https://www.incibe-cert.es/