Actualización de seguridad de SAP de diciembre de 2019

Fecha de publicación 11/12/2019
Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Client, versión 6.5;
  • SAP Adaptive Server Enterprise, versiones 15.7 y 16.0;
  • SAP BusinessObjects Business Intelligence Platform (Fiori BI Launchpad), versión 4.2;
  • SAP ERP HCM (SAP_HRCES), versión 3;
  • SAP Enable Now, versión 1911;
  • SAP Portfolio and Project Management, versiones S4CORE 102, 103, EPPM 100, CPRXRPM 500_702, 600_740 y 610_740;
  • SAP BusinessObjects Business Intelligence Platform (Monitoring Application), versiones 4.1, 4.2 y 4.3.
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 1 actualización, siendo 1 de ellas de severidad crítica y 6 medias.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 1 vulnerabilidad de falta de comprobación de autorización;
  • 4 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de CSRF (Cross-Site Request Forgery);
  • 1 vulnerabilidad de XSS (Cross-Site Scripting);
  • 2 vulnerabilidades de otro tipo.

La nota de seguridad más destacada se refiere a:

  • SAP ha publicado la actualización de la versión compatible de Google Chromium para SAP Business Client, aunque la versión soportada todavía no soluciona las vulnerabilidades CVE-2019-13720 y CVE-2019-13721 publicadas por Google. Además, en el caso de que la vulnerabilidad CVE-2019-13720 estuviese siendo explotada, los sistemas SAP podrían verse afectados indirectamente a través de equipos cliente infectados conectados a la misma red. La próxima actualización podría mitigar sus efectos.

Para el resto de vulnerabilidades, se han reservado los siguientes identificadores: CVE-2019-0402, CVE-2019-0395, CVE-2019-0405, CVE-2019-0403, CVE-2019-0404, CVE-2019-0399 y CVE-2019-0398. El identificador CVE-2019-0325 está reservado.

Encuesta valoración

Listado de referencias
SAP Security Patch Day – December 2019
SAP Security Notes December 2019: New Supported Chromium Version for SAP Business Client is the Only HotNews
Etiquetas