Actualización de seguridad de SAP de diciembre de 2019
- SAP Business Client, versión 6.5;
- SAP Adaptive Server Enterprise, versiones 15.7 y 16.0;
- SAP BusinessObjects Business Intelligence Platform (Fiori BI Launchpad), versión 4.2;
- SAP ERP HCM (SAP_HRCES), versión 3;
- SAP Enable Now, versión 1911;
- SAP Portfolio and Project Management, versiones S4CORE 102, 103, EPPM 100, CPRXRPM 500_702, 600_740 y 610_740;
- SAP BusinessObjects Business Intelligence Platform (Monitoring Application), versiones 4.1, 4.2 y 4.3.
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 1 actualización, siendo 1 de ellas de severidad crítica y 6 medias.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
- 1 vulnerabilidad de falta de comprobación de autorización;
- 4 vulnerabilidades de divulgación de información;
- 1 vulnerabilidad de CSRF (Cross-Site Request Forgery);
- 1 vulnerabilidad de XSS (Cross-Site Scripting);
- 2 vulnerabilidades de otro tipo.
La nota de seguridad más destacada se refiere a:
- SAP ha publicado la actualización de la versión compatible de Google Chromium para SAP Business Client, aunque la versión soportada todavía no soluciona las vulnerabilidades CVE-2019-13720 y CVE-2019-13721 publicadas por Google. Además, en el caso de que la vulnerabilidad CVE-2019-13720 estuviese siendo explotada, los sistemas SAP podrían verse afectados indirectamente a través de equipos cliente infectados conectados a la misma red. La próxima actualización podría mitigar sus efectos.
Para el resto de vulnerabilidades, se han reservado los siguientes identificadores: CVE-2019-0402, CVE-2019-0395, CVE-2019-0405, CVE-2019-0403, CVE-2019-0404, CVE-2019-0399 y CVE-2019-0398. El identificador CVE-2019-0325 está reservado.