Volvemos, como cada mes, con el artículo escrito a partir de la liberación por parte del departamento de seguridad de SAP del “SAP Security Patch Day. Como siempre, intentaremos dar una visión más cercana de las vulnerabilidades encontradas en el mes y cómo aplicarlas en los sistemas. Sobre todo las de más criticidad, llamadas Hot News.
Este mes hay 15 notas de seguridad de las cuales 9 son de prioridad alta con una puntuación CVSS por encima de 7. De las 15 notas, 3 son actualizaciones de vulnerabilidades descubiertas en meses anteriores. De las 9 notas de prioridad alta, 7 han sido liberadas en el último mes y por tanto las más importantes para chequear si afectan o no a nuestros sistemas.
La vulnerabilidad más importante y la que tiene un 10 en la puntuación tiene que ver con el componente LM-SERVICE de la pila JAVA de Solution Manager y permite a un usuario acceder al sistema sin credenciales, comprometiendo el sistema y poniendo en riesgo la integridad y la disponibilidad del servicio. A continuación, os dejo la lista de vulnerabilidades que afecta a este punto:
Esta vulnerabilidad está presente en versiones por debajo del SP11 del Solution Manager y se solventa actualizando el componente LM-Service a la última versión.
Con una puntuación de 9.8 encontramos una vulnerabilidad que afecta a los sistemas SAP Data Service, que deberán de actualizar sus versiones para evitar la posibilidad de que un atacante ejecute código remoto por falta de validaciones o llegue a generar una denegación de servicios comprometiendo la disponibilidad del servicio.
Otra Hot New liberada con una puntuación de 9.1 aplica al add-on DMIS los sistemas ABAP y S/4HANA. Esta vulnerabilidad permite a un usuario autenticado inyectar código y cambiar el curso de la ejecución. Se solventa implementando la nota 2973735 o actualizando el componente.
También con un 9.1 encontramos otra vulnerabilidad que permite la escalada de privilegios poniendo en serio compromiso la confidencialidad, integridad y la disponibilidad de los sistemas NW JAVA y que afecta a las versiones 7.20, 7.30, 7.31, 7.40 y 7.50. Para solucionarlo, es necesario actualizar el componente SR-UI.
Para acabar con las Hot News, comentar que vuelven a la lista 2 vulnerabilidades encontradas con anterioridad. La primera Missing Authentication Check in SAP Solution Manager, liberada en el Patch day de marzo de 2020 al cual le dedicamos un artículo exclusivo y Cross-Site Scripting (XSS) in SAP NetWeaver (Knowledge Management) que comentamos en el artículo del patch day de agosto.
Además de las 6 vulnerabilidades comentadas, podéis ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:
En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 184 notas de seguridad de las cuales 34 tienes una puntuación CVSS por encima de 9 y 40 por encima de 7.
Notas de seguridad liberadas por SAP en 2020
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Enero | 1 | 6 | 7 | ||
| Febrero | 11 | 3 | 1 | 15 | |
| Marzo | 1 | 9 | 4 | 4 | 18 |
| Abril | 16 | 5 | 5 | 26 | |
| Mayo | 11 | 5 | 6 | 22 | |
| Junio | 12 | 4 | 2 | 18 | |
| Julio | 1 | 6 | 1 | 2 | 10 |
| Agosto | 8 | 6 | 2 | 16 | |
| Septiembre | 1 | 9 | 2 | 4 | 16 |
| Octubre | 1 | 11 | 7 | 2 | 21 |
| Noviembre | 6 | 3 | 6 | 15 | |
| TOTAL | 5 | 105 | 40 | 34 | 184 |
Desglose de notas liberadas por tipos de vulnerabilidades en lo que llevamos de año
Como siempre, solo queda recomendar pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.
Fuente:
Más información:
Quizas te pueda interesar
Fin de soporte en el ERP
Toca evolucionar ¿hacia dónde?
El reloj avanza para los sistemas SAP ERP 6.05 o anteriores. Con el anuncio oficial de SAP, el soporte estándar para estas versiones concluye este año, dejando a muchas organizaciones en una encrucijada tecnológica. Mantenerse en plataformas sin soporte representa un...
Grow with SAP vs. RISE with SAP
¿Cuál es la mejor opción para tu empresa?
En Oreka IT acompañamos a las empresas en su camino hacia la digitalización con un enfoque claro: ofrecer soluciones adaptadas a su realidad y a sus objetivos de negocio. En este contexto, SAP ha diseñado dos propuestas estratégicas para facilitar la adopción de su...
Actualizando la manera de conectarse a SAPGUI
Si preguntamos a cualquier administrador de sistemas SAP por el tipo de incidencias más básico que ha tenido que resolver, sin duda, la respuesta sería “resetear la contraseña del usuario” y es que, el control de acceso a los sistemas SAP a través de SAPGUI siempre ha...