Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de agosto de 2020

Fecha de publicación 12/08/2020
Importancia
5 - Crítica
Recursos Afectados
  • SAP NetWeaver AS JAVA (LM Configuration Wizard), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
  •  SAP Business Objects Business Intelligence Platform, versiones 4.2 y 4.3;
  • SAP Banking Services (Generic Market Data), versiones 400, 450 y 500;
  • SAP NetWeaver (ABAP Server) y ABAP Platform, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753 y 755;
  • SAP NetWeaver AS JAVA (ENGINEAPI), versiones 7.10 y 7.10;
  • SAP NetWeaver AS JAVA (WSRM), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS JAVA (SERVERCORE), versiones 7.10, 7.10 y 7.11;
  • SAP NetWeaver AS JAVA (J2EE-FRMW), versiones J2EE-FRMW 7.10 y 7.11;
  • SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP Adaptive Server Enterprise, versión 16.0;
  • SAP Commerce, versiones 6.7, 1808, 1811, 1905 y 2005;
  • SAP Data Intelligence, versión 3;
  • SAPUI5 (UISAPUI5_JAVA), versión 7.50;
  • SAPUI5 (SAP_UI), versiones 750, 751, 752, 753, 754 y 755;
  • SAPUI5 (UI_700), versión 200;
  • SAP ERP (HCM Travel Management), versiones 600, 602, 603, 604, 605, 606, 607 y 608;
  • SAP Business Objects Business Intelligence Platform (Central Management Console), versiones 4.2 y 4.3;
  • SAP S/4 HANA (Fiori UI for General Ledger Accounting), versiones 103 y 104;
  • SAP NetWeaver (ABAP Server) y ABAP Platform, versiones 740, 750, 751, 752, 753, 754 y 755;
  • SAP NetWeaver (ABAP Server) y ABAP Platform, versiones 702, 730, 731, 740 y 750.
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 15 notas de seguridad y 1 actualización, siendo 2 de ellas de severidad crítica, 6 altas y 8 medias.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 1 vulnerabilidad de inyección de código,
  • 5 vulnerabilidades de Cross-Site Scripting,
  • 4 vulnerabilidades de divulgación de información,
  • 3 vulnerabilidades de falta de comprobación de autorización,
  • 4 vulnerabilidades de falta de comprobación de autenticación,
  • 1 vulnerabilidad de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • La falta de comprobación de autenticación en SAP NetWeaver AS JAVA (LM Configuration Wizard) podría permitir a un atacante, sin autenticación previa, ejecutar tareas de configuración para realizar acciones críticas contra el sistema SAP Java, incluyendo la capacidad de crear un usuario administrativo, y por lo tanto comprometiendo la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2020-6287 para esta vulnerabilidad.
  • Una vulnerabilidad de tipo Cross-Site Scripting (XSS) que afecta a SAP Knowledge Management, un componente de SAP NetWeaver, específicamente de SAP Enterprise Portal, y que puede suponer un compromiso total de la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2020-6284 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-6294, CVE-2020-6298, CVE-2020-6296, CVE-2020-6309, CVE-2020-6293, CVE-2020-6295, CVE-2020-6297, CVE-2020-6301, CVE-2020-6300, CVE-2020-6273, CVE-2020-6299 y CVE-2020-6310.

Encuesta valoración