Actualización de seguridad de SAP de diciembre de 2020
- SAP NetWeaver AS JAVA, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
- SAP NetWeaver AS ABAP, versiones 620, 640, 700, 710, 730, 731, 740, 750, 751, 752, 753 y 754;
- SAP BusinessObjects BI Platform (Crystal Report), versiones 4.1, 4.2 y 4.3;
- SAP Business Warehouse, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 782;
- SAP BW4HANA, versiones 100 y 200;
- SAP S4 HANA, versiones 101, 102, 103, 104 y 105;
- SAP Solution Manager, versión 7.20;
- SAP Disclosure Management, versión 10.1;
- SAP UI, versiones 7.5, 7.51, 7.52, 7.53 y 7.54;
- SAP UI 700, versión 2.0;
- SAP HANA Database, versión 2.0.
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad y 2 actualizaciones de notas anteriores, siendo 3 de las nuevas notas de severidad crítica, 2 altas, 5 medias y 1 baja.
Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:
- 2 vulnerabilidades de inyección de código,
- 2 vulnerabilidades de falta de comprobación de autorización,
- 1 vulnerabilidad de Cross-Site Scripting (XSS),
- 1 vulnerabilidad de limitación inadecuada de una ruta de acceso a un directorio restringido (path traversal),
- 1 vulnerabilidad de falta de autorización,
- 1 vulnerabilidad de falta de validación de XML,
- 6 vulnerabilidades de otro tipo.
Las notas de seguridad más destacadas se refieren a:
- Esta vulnerabilidad podría permitir a un atacante, no autenticado, que fuese capaz de conectarse a los respectivos puertos TCP, realizar diferentes acciones privilegiadas, tales como instalar nuevos proveedores de SSO de confianza, cambiar los parámetros de conexión de la base de datos y obtener acceso a la información de configuración. Se ha asignado el identificador CVE-2020-26829 para esta vulnerabilidad.
- Esta vulnerabilidad podría permitir a un atacante, con privilegios básicos, inyectar entidades XML arbitrarias que llevarían a la divulgación de archivos y directorios internos, y permitirían ataques SSRF y DoS. Se ha asignado el identificador CVE-2020-26831 para esta vulnerabilidad.
- Un atacante, con privilegios elevados, podría enviar peticiones, especialmente elaboradas, para generar y ejecutar código arbitrario sin ninguna interacción adicional del usuario y, por lo tanto, conllevando un potencial compromiso total de la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2020-26838 para esta vulnerabilidad.
- La vulnerabilidad podría permitir que un atacante remoto inyectase y ejecutase un código arbitrario y, de esta manera, tomase el control completo del sistema afectado. Se ha asignado el identificador CVE-2020-26808 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-26837, CVE-2020-26830, CVE-2020-26832, CVE-2020-26826, CVE-2020-26828, CVE-2020-26816, CVE-2020-26835, CVE-2019-0388, CVE-2020-26834 y CVE-2020-26836.
