Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de julio de 2023

Fecha de publicación 12/07/2023
Identificador

INCIBE-2023-0266

Importancia
5 - Crítica
Recursos Afectados
  • SAP ECC y SAP S/4HANA, versiones 104, 105, 106, 107, 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 y 807.
  • SAP NetWeaver (BI CONT ADD ON), versiones 707, 737, 747 y 757.
  • SAP Web Dispatcher, versiones WEBDISP 7.49, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.81, WEBDISP 7.85, WEBDISP 7.88, WEBDISP 7.89, WEBDISP 7.90, KERNEL 7.49, KERNEL 7.53, KERNEL 7.54 KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.88, KERNEL 7.89, KERNEL 7.90, KRNL64NUC 7.49, KRNL64UC 7.49, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00 y SAP_EXTENDED_APP_SERVICES 1.
  • SAP SQL Anywhere, versión 17.0.
  • SAP Solution Manager (Diagnostic Agent), versión 7.20.
  • SAP NetWeaver Process Integration (Runtime Workbench), versión SAP_XITOOL 7.50.
  • SAP Enable Now, versiones WPB_MANAGER 1.0, WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10 y ENABLE_NOW_CONSUMP_DEL 1704.
  • SAP BusinessObjects BI Platform (Enterprise), versiones 4.20 y 4.30.
  • SAP NetWeaver AS para Java (Log Viewer), versiones ENGINEAPI 7.50, SERVERCORE 7.50 y J2EE-APPS 7.50.
  • SAP ERP Defense Forces y Public Security, versiones 600, 603, 604, 605, 616, 617, 618, 802, 803, 804, 805, 806 y 807.
  • SAP Business Warehouse y SAP BW/4HANA, versiones SAP_BW 730, SAP_BW 731, SAP_BW 740, SAP_BW 730, SAP_BW 750, DW4CORE 100, DW4CORE 200 y DW4CORE 300.
Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 16 notas de seguridad, siendo 1 de severidad crítica, 6 de severidad alta y 9 medias. Adicionalmente, hay 2 actualizaciones de notas de seguridad en meses anteriores.

La vulnerabilidad crítica se ha detectado en SAP IS-OIL y podría permitir a un atacante autenticado inyectar un comando arbitrario del sistema operativo en un parámetro desprotegido de una transacción y programa vulnerables. Se ha asignado el identificador CVE-2023-36922.