Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Actualización de seguridad de SAP de septiembre de 2020

Fecha de publicación: 08/09/2020

Importancia: Crítica

Recursos afectados:

  • SAP Solution Manager (User Experience Monitoring), versión 7.2;
  • SAP Business Client, versión 6.5;
  • SAP Marketing (Mobile Channel Servlet), versiones 130, 140 y 150;
  • SAP NetWeaver (ABAP Server) and ABAP Platform, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 y 755;
  • SAP Netweaver AS ABAP, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 y 754;
  • BANKING SERVICES FROM SAP 9.0 (Bank Analyzer), versión 500;
  • S/4HANA FIN PROD SUBLDGR, versión 100;
  • SAP Commerce, versiones 6.7, 1808, 1811, 1905 y 2005;
  • SAP NetWeaver AS ABAP (BSP Test Application), versiones 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754 y755;
  • SAPUI5 (UISAPUI5_JAVA), versión 7.50;
  • SAPUI5 (SAP_UI), versiones 750, 751, 752, 753, 754 y 755;
  • SAPUI5 (UI_700), versión 200;
  • SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP Business Objects Business Intelligence Platform (BI Workspace), versiones 4.1 y 4.2;
  • SAPFiori (Launchpad), versiones 750, 752, 753, 754 y 755;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP Adaptive Server Enterprise, versiones 15.7, 16.0.

Descripción:

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 6 actualizaciones, siendo 4 de ellas de severidad crítica, 2 altas, 9 medias y 1 baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de inyección de código,
  • 7 vulnerabilidades de Cross-Site Scripting,
  • 1 vulnerabilidad de control de acceso inadecuado,
  • 1 vulnerabilidad de falta de comprobación de autorización,
  • 38 vulnerabilidades de inadecuada validación de los datos de entrada;
  • 1 vulnerabilidad de falta de comprobación de autenticación,
  • 6 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • Vulnerabilidad en Mobile Channel Servlet podría permitir a un atacante autentificado invocar ciertas funciones que están restringidas para realizar tareas relacionadas con los datos de contacto e interacción. Se ha asignado el identificador CVE-2020-6320 para esta vulnerabilidad.
  • Vulnerabilidad de inyección de código en las plataformas SAP NetWeaver AS ABAP y SAP ABAP podrían permitir a un atacante tomar el control completo de la aplicación, incluyendo la visualización, modificación o eliminación de datos mediante la inyección de código en la zona de memoria que posteriormente es ejecutada por la aplicación. También se puede utilizar para causar un fallo general en la aplicación que provoque su finalización. Se ha asignado el identificador CVE-2020-6318 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-6207, CVE-2020-6296, CVE-2020-6275, CVE-2020-6311, CVE-2020-6302, CVE-2020-6324, CVE-2020-11022, CVE-2020-11023, CVE-2020-6282, CVE-2020-6326, CVE-2020-6313, CVE-2020-6325, CVE-2020-6312, CVE-2020-6288, CVE-2020-6283, CVE-2020-6322, CVE-2020-6327, CVE-2020-6330, CVE-2020-6333, CVE-2020-6346, CVE-2020-6350, CVE-2020-6339, CVE-2020-6356, CVE-2020-6360, CVE-2020-6361, CVE-2020-6328, CVE-2020-6341, CVE-2020-6343, CVE-2020-6351, CVE-2020-6352, CVE-2020-6358, CVE-2020-6348, CVE-2020-6349, CVE-2020-6347, CVE-2020-6337, CVE-2020-6331, CVE-2020-6332, CVE-2020-6335, CVE-2020-6314, CVE-2020-6359, CVE-2020-6344, CVE-2020-6340, CVE-2020-6336, CVE-2020-6338, CVE-2020-6334, CVE-2020-6353, CVE-2020-6329, CVE-2020-6354, CVE-2020-6345, CVE-2020-6355, CVE-2020-6342, CVE-2020-6321, CVE-2020-6357 y CVE-2020-6317.

Etiquetas: Actualización, SAP, Vulnerabilidad