Actualización de seguridad de SAP de septiembre de 2020
- SAP Solution Manager (User Experience Monitoring), versión 7.2;
- SAP Business Client, versión 6.5;
- SAP Marketing (Mobile Channel Servlet), versiones 130, 140 y 150;
- SAP NetWeaver (ABAP Server) and ABAP Platform, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 y 755;
- SAP Netweaver AS ABAP, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 y 754;
- BANKING SERVICES FROM SAP 9.0 (Bank Analyzer), versión 500;
- S/4HANA FIN PROD SUBLDGR, versión 100;
- SAP Commerce, versiones 6.7, 1808, 1811, 1905 y 2005;
- SAP NetWeaver AS ABAP (BSP Test Application), versiones 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754 y755;
- SAPUI5 (UISAPUI5_JAVA), versión 7.50;
- SAPUI5 (SAP_UI), versiones 750, 751, 752, 753, 754 y 755;
- SAPUI5 (UI_700), versión 200;
- SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
- SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
- SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
- SAP Business Objects Business Intelligence Platform (BI Workspace), versiones 4.1 y 4.2;
- SAPFiori (Launchpad), versiones 750, 752, 753, 754 y 755;
- SAP 3D Visual Enterprise Viewer, versión 9;
- SAP Adaptive Server Enterprise, versiones 15.7, 16.0.
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 6 actualizaciones, siendo 4 de ellas de severidad crítica, 2 altas, 9 medias y 1 baja.
Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:
- 2 vulnerabilidades de inyección de código,
- 7 vulnerabilidades de Cross-Site Scripting,
- 1 vulnerabilidad de control de acceso inadecuado,
- 1 vulnerabilidad de falta de comprobación de autorización,
- 38 vulnerabilidades de inadecuada validación de los datos de entrada;
- 1 vulnerabilidad de falta de comprobación de autenticación,
- 6 vulnerabilidades de otro tipo.
Las notas de seguridad más destacadas se refieren a:
- Vulnerabilidad en Mobile Channel Servlet podría permitir a un atacante autentificado invocar ciertas funciones que están restringidas para realizar tareas relacionadas con los datos de contacto e interacción. Se ha asignado el identificador CVE-2020-6320 para esta vulnerabilidad.
- Vulnerabilidad de inyección de código en las plataformas SAP NetWeaver AS ABAP y SAP ABAP podrían permitir a un atacante tomar el control completo de la aplicación, incluyendo la visualización, modificación o eliminación de datos mediante la inyección de código en la zona de memoria que posteriormente es ejecutada por la aplicación. También se puede utilizar para causar un fallo general en la aplicación que provoque su finalización. Se ha asignado el identificador CVE-2020-6318 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-6207, CVE-2020-6296, CVE-2020-6275, CVE-2020-6311, CVE-2020-6302, CVE-2020-6324, CVE-2020-11022, CVE-2020-11023, CVE-2020-6282, CVE-2020-6326, CVE-2020-6313, CVE-2020-6325, CVE-2020-6312, CVE-2020-6288, CVE-2020-6283, CVE-2020-6322, CVE-2020-6327, CVE-2020-6330, CVE-2020-6333, CVE-2020-6346, CVE-2020-6350, CVE-2020-6339, CVE-2020-6356, CVE-2020-6360, CVE-2020-6361, CVE-2020-6328, CVE-2020-6341, CVE-2020-6343, CVE-2020-6351, CVE-2020-6352, CVE-2020-6358, CVE-2020-6348, CVE-2020-6349, CVE-2020-6347, CVE-2020-6337, CVE-2020-6331, CVE-2020-6332, CVE-2020-6335, CVE-2020-6314, CVE-2020-6359, CVE-2020-6344, CVE-2020-6340, CVE-2020-6336, CVE-2020-6338, CVE-2020-6334, CVE-2020-6353, CVE-2020-6329, CVE-2020-6354, CVE-2020-6345, CVE-2020-6355, CVE-2020-6342, CVE-2020-6321, CVE-2020-6357 y CVE-2020-6317.