Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de enero de 2019

Fecha de publicación 09/01/2019
Importancia
5 - Crítica
Recursos Afectados
  • SAP Cloud Connector, versiones anteriores a 2.11.3
  • SAP Landscape Management, versiones VCM 3.0
  • SAP BW/4HANA, versión 1.0 (SP08)
  • SAP Financial Consolidation Cube Designer, versiones BOBJ_EADES 8.0, 10.1
  • SAP Commerce (ex. SAP Hybris Commerce), versiones anteriores a 6.7
  • SAP Work Manager, versiones Agentry_SDK 7.0, 7.1
  • SAP CRM WebClient UI, versiones SAPSCORE 1.12; S4FND 1.02; WEBCUIF 7.31, 7.46, 7.47, 7.48, 8.0, 8.01
  • SAP Business Objects Mobile for Android, versiones anteriores a 6.3.5
  • SAP Gateway of ABAP Application Server, versiones SAP_GWFND 7.5, 7.51, 7.52, 7.53; SAP_BASIS 7.5
  • SAP Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0; Bank/CFM 4.63_20
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad, siendo 2 de ellas de severidad crítica, 1 alta y 8 de criticidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de falta de verificación de autorización.
  • 3 vulnerabilidades de cross-site scripting.
  • 3 vulnerabilidades de revelación de información.
  • 2 vulnerabilidades de denegación de servicio de redirección de URL.
  • 1 vulnerabilidad de otro tipo.

Las notas de seguridad calificadas como críticas se refieren a:

  • Dos vulnerabilidades en SAP Cloud Connector podrían permitir a un atacante leer, modificar o eliminar información sensible y acceder a funciones administrativas que requiere privilegios de administrador, debido a una falta de verificación de autorización. También podría permitir la inyección de código, provocando la ejecución de comandos no autorizados, acceso o revelación de información sensible o en denegación de servicio.
  • Una vulnerabilidad en SAP Landscape Management podría permitir que un atacante obtenga las credenciales de un usuario con privilegios elevados.

En cuanto a la etiquetada con severidad alta, se trata de una vulnerabilidad del tipo falta de verificación de autorización.

Encuesta valoración

Listado de referencias
SAP Security Patch Day – January 2019
SAP Security Notes January ‘19: First Critical Note for SAP Cloud Connector and Mobile Patching
SAP Cyber Threat Intelligence report – January 2019
Etiquetas