Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de abril de 2019

Fecha de publicación 10/04/2019
Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Client, versión 6.5
  • SAP Crystal Reports for Visual Studio, versión 2010
  • AP NetWeaver (SLD Registration) y ABAP Platform (SLD Registration), versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KERNEL desde 7.21 hasta 7.22, 7.45 y 7.49
  • SAP BASIS, versiones desde la 7.00 hasta la 7.02, desde 7.10 hasta la 7.30, 7.31, 7.40 y desde la 7.50 hasta la 7.53
  • SAP NetWeaver Process Integration (Runtime Workbench y Messaging System), versiones desde la 7.10 hasta la 7.11 ambas incluidas, 7.31, 7.40 y 7.50
  • SAP HANA, versiones 1.0 y 2.0
  • AP Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0 y Bank/CFM 4.63_20
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución
  • Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 3 actualizaciones, siendo 1 de ellas de severidad crítica, 2 alta y 6 de criticidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de falta de verificación de autorización.
  • 3 vulnerabilidades de revelación de información.
  • 2 vulnerabilidades XML External Entity (XXE).
  • 2 vulnerabilidades de otro tipo.

La actualización de seguridad calificada como crítica se refiere a:

  • El navegador Chromium que incluye Sap Business Client contiene múltiples vulnerabilidades que SAP ha solucionado en esta actualización.

Las notas de seguridad calificadas como altas se refieren a:

  • SAP Crystal Reports contiene una vulnerabilidad de revelación de información, un atacante podría revelar información adicional (datos del sistema, información de depuración, etc.), que le ayudaría a conocer el sistema y a planificar nuevos ataques. Se ha reservado el identificador CVE-2019-0285 para esta vulnerabilidad.
  • AP NetWeaver Java Application Server tiene una vulnerabilidad de suplantación, un atacante podría mostrar al usuario datos ilegibles, cambiar la dirección del remitente, los datos mostrados en una página y otra información importante. Se ha reservado el identificador CVE-2019-0283 para esta vulnerabilidad.

Los identificadores del resto de vulnerabilidades son: CVE-2019-0265, CVE-2019-0279, CVE-2019-0282, CVE-2019-0284, CVE-2019-0278 y CVE-2018-2484.

Encuesta valoración