Actualización de seguridad de SAP de abril de 2019
Fecha de publicación 10/04/2019
Importancia
5 - Crítica
Recursos Afectados
- SAP Business Client, versión 6.5
- SAP Crystal Reports for Visual Studio, versión 2010
- AP NetWeaver (SLD Registration) y ABAP Platform (SLD Registration), versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KERNEL desde 7.21 hasta 7.22, 7.45 y 7.49
- SAP BASIS, versiones desde la 7.00 hasta la 7.02, desde 7.10 hasta la 7.30, 7.31, 7.40 y desde la 7.50 hasta la 7.53
- SAP NetWeaver Process Integration (Runtime Workbench y Messaging System), versiones desde la 7.10 hasta la 7.11 ambas incluidas, 7.31, 7.40 y 7.50
- SAP HANA, versiones 1.0 y 2.0
- AP Enterprise Financial Services, versiones SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0 y Bank/CFM 4.63_20
Descripción
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.
Solución
- Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 3 actualizaciones, siendo 1 de ellas de severidad crítica, 2 alta y 6 de criticidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
- 2 vulnerabilidades de falta de verificación de autorización.
- 3 vulnerabilidades de revelación de información.
- 2 vulnerabilidades XML External Entity (XXE).
- 2 vulnerabilidades de otro tipo.
La actualización de seguridad calificada como crítica se refiere a:
- El navegador Chromium que incluye Sap Business Client contiene múltiples vulnerabilidades que SAP ha solucionado en esta actualización.
Las notas de seguridad calificadas como altas se refieren a:
- SAP Crystal Reports contiene una vulnerabilidad de revelación de información, un atacante podría revelar información adicional (datos del sistema, información de depuración, etc.), que le ayudaría a conocer el sistema y a planificar nuevos ataques. Se ha reservado el identificador CVE-2019-0285 para esta vulnerabilidad.
- AP NetWeaver Java Application Server tiene una vulnerabilidad de suplantación, un atacante podría mostrar al usuario datos ilegibles, cambiar la dirección del remitente, los datos mostrados en una página y otra información importante. Se ha reservado el identificador CVE-2019-0283 para esta vulnerabilidad.
Los identificadores del resto de vulnerabilidades son: CVE-2019-0265, CVE-2019-0279, CVE-2019-0282, CVE-2019-0284, CVE-2019-0278 y CVE-2018-2484.
Listado de referencias
Etiquetas