Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Actualización de seguridad de SAP de diciembre 2018

Fecha de publicación: 12/12/2018

Importancia: Crítica

Recursos afectados:

  • SAP Business Client Versión 6.5
  • SAP Commerce (SAP Hybris Commerce), versiones 6.2, 6.3, 6.4, 6.5, 6.6, 6.7
  • SAP Basis (?AS ABAP of SAP NetWeaver? 700 a 750, para 750 posteriormente entregadas como ?ABAP Platform?) versiones 7.00 a 7.02, 7.10 a 7.30, 7.31, 7.40, 7.50 a 7.53
  • SAP NetWeaver, versiones - ServerCore (7.11, 7.20, 7.30, 7.31, 7.40, 7.50)
  • SAP NetWeaver (Application Server Java Library), versiones 7.20, 7.30, 7.31 y 7.50
  • SAP NetWeaver AS Java, versiones ServerCore (7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50)
  • SAP ABAP Change and Transport System (CTS), versiones SAP KERNEL 32 NUC, SAP KERNEL 32 Unicode, SAP KERNEL 64 NUC, SAP KERNEL 64 Unicode 7.21, 7.21EXT, 7.22 y 7.22EXT; SAP KERNEL 7.21, 7.22, 7.45, 7.49, 7.53, 7.73, 7.74
  • SAP Marketing, versiones UICUAN (1.20, 1.30, 1.40), SAPSCORE (1.13, 1.14)
  • SAP_BASIS, versiones 6.40, 7.00, 7.01, 7.02, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40
  • SAP Business One Service Layer, versión B1_ON_HANA (9.2, 9.3)
  • SAP Mobile Secure for Android, versión 6.60.19942.0 SP28 1711
  • SAP HANA, versiones 1.0, 2.0

Descripción:

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 9 notas de seguridad y 3 actualizaciones, siendo 2 de ellas de severidad crítica, 3 altas y 6 de criticidad media y 1 de severidad baja.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 2 vulnerabilidades de falta de verificación de autorización.
  • 3 vulnerabilidades de cross-site scripting.
  • 1 vulnerabilidades de divulgación de información.
  • 1 vulnerabilidad de incorrecta validación de XML.
  • 1 vulnerabilidad de cross-frame scripting.
  • 4 vulnerabilidades de otro tipo.

Las clasificadas como críticas son las siguientes:

  • Una vulnerabilidad en SAP Business Client versión 6.5 podría permitir a un atacante ejecutar código arbitrario dentro de una sandbox a través de una página de HTML previamente diseñada.
  • Una vulnerabilidad cross-site scripting (XSS) en SAP Hybris Commerce, afecta al archivo JavaScript webApplicationInjector.js o a una copia de él cuando lo utilizan las tiendas.

Etiquetas: Actualización, SAP, Vulnerabilidad