[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2020\/09\/SAP-SECURITY-PATCH-DAY-SEPTIEMBRE-2020.png” alt=”cloud-public” title_text=”SAP-SECURITY-PATCH-DAY-SEPTIEMBRE-2020″ admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” header_4_font_size=”17px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” width=”%22630%22″ height=”%22307%22″ hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|hover” sticky_enabled=”0″]<\/p>\n
Como cada segundo martes de cada mes, el equipo de seguridad de SAP ha compartido las\u00a0notas de seguridad<\/strong>\u00a0que solucionan vulnerabilidades en los sistemas SAP en el ya denominado\u00a0 \u201cSAP Security Patch Day\u201d<\/p>\n Este mes, hay 16 notas de seguridad de las cuales\u00a08 son de prioridad alta\u00a0<\/strong>con una puntuaci\u00f3n CVSS por encima de 7. De las 16 notas, 6 son de versiones anteriores de otros meses.<\/p>\n La vulnerabilidad\u00a0CVE-2020-6207<\/a>, ya comentada en el art\u00edculo \u201cLa importancia de la seguridad en Solution Manager\u201c<\/a>\u00a0es la que se lleva un 10 de puntuaci\u00f3n CVSS que se soluciona instalando la nota\u00a02890213<\/a>. En el listado tambi\u00e9n aparecen 3 notas con una puntuaci\u00f3n CVSS por encima de 9.<\/p>\n \u00c9sta es una vulnerabilidad recurrente y aplica a las empresas que utilicen Business Client como cliente GUI de SAP. En concreto, aplica al navegador que utiliza internamente el programa y no es otro que Google Chromium. Al ser un navegador de terceros, pero estar dentro del paquete, SAP debe liberar un parche de Business Client cada vez que Google libera parches de seguridad para su navegador.<\/p>\n Aplica a las versiones 130, 140 y 150 de SAP Marketing y permite que un atacante autenticado en el sistema pueda ejecutar funciones que a priori est\u00e1n bloqueadas. De esta manera puede acceder a datos de contacto quedando expuesta la confidencialidad de los datos.<\/p>\n De las 4 Hot News de este mes, esta es a mi entender\u00a0la m\u00e1s cr\u00edtica\u00a0<\/strong>ya que afecta a todas las versiones de NetWeaver, permitiendo a un atacante inyectar c\u00f3digo malicioso en la memoria d\u00e1ndole permisos para modificar, eliminar e insertar datos. Tambi\u00e9n es posible mediante este c\u00f3digo producir un fallo general apagando los sistemas.<\/p>\n Adem\u00e1s de las 3 vulnerabilidades comentadas, pod\u00e9is ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:<\/p>\n En lo que llevamos de a\u00f1o el equipo de seguridad de SAP lleva liberadas 148 notas de seguridad de las cuales 26 tienes una puntuaci\u00f3n CVSS por encima de 9 y 30 por encima de 7.<\/p>\n El desglose de notas liberadas por tipos de vulnerabilidades en lo que llevamos de a\u00f1o es:<\/p>\n Este mes, que parece que antes no lo trataban as\u00ed, se han contabilizado 38 vulnerabilidades de tipo \u201cImproper input validation\u201d que como su propio nombre indica, sucede cuando el programa no valida, o valida de forma incorrecta los datos insertados, afectando al flujo de control del programa.<\/p>\n Como siempre, s\u00f3lo queda recomendar realizar mensualmente un chequeo de las notas de seguridad liberadas por SAP e instalar las que apliquen a los sistemas de cada empresa.<\/p>\n Fuentes:<\/p>\n https:\/\/www.incibe-cert.es\/<\/a><\/p>\n https:\/\/wiki.scn.sap.com\/<\/a><\/p>\nUpdate to security note released on April 2018 Patch Day:<\/strong>
Security updates for the browser control Google Chromium delivered with SAP Business Client<\/strong><\/h2>\nImproper Access Control in SAP Marketing (Mobile Channel Servlet)<\/strong><\/h2>\n
[CVE-2020-6318<\/a>]\u00a0Code Injection vulnerability in SAP NetWeaver (ABAP Server) and ABAP Platform<\/strong><\/h2>\n
![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2020\/09\/vulnerabilidades-septiembre.png\")
<\/figure>\n\n\n
\n \u00a0<\/td>\n LOW<\/td>\n MEDIUM<\/td>\n HIGH<\/td>\n HOT NEWS<\/td>\n TOTAL<\/td>\n<\/tr>\n \n Enero<\/td>\n 1<\/td>\n 6<\/td>\n \u00a0<\/td>\n \u00a0<\/td>\n 7<\/strong><\/td>\n<\/tr>\n \n Febrero<\/td>\n \u00a0<\/td>\n 11<\/td>\n 3<\/td>\n 1<\/td>\n 15<\/strong><\/td>\n<\/tr>\n \n Marzo<\/td>\n 1<\/td>\n 9<\/td>\n 4<\/td>\n 4<\/td>\n 18<\/strong><\/td>\n<\/tr>\n \n Abril<\/td>\n \u00a0<\/td>\n 16<\/td>\n 5<\/td>\n 5<\/td>\n 26<\/strong><\/td>\n<\/tr>\n \n Mayo<\/td>\n \u00a0<\/td>\n 11<\/td>\n 5<\/td>\n 6<\/td>\n 22<\/strong><\/td>\n<\/tr>\n \n Junio<\/td>\n \u00a0<\/td>\n 12<\/td>\n 4<\/td>\n 2<\/td>\n 18<\/strong><\/td>\n<\/tr>\n \n Julio<\/td>\n 1<\/td>\n 6<\/td>\n 1<\/td>\n 2<\/td>\n 10<\/strong><\/td>\n<\/tr>\n \n Agosto<\/td>\n \u00a0<\/td>\n 8<\/td>\n 6<\/td>\n 2<\/td>\n 16<\/strong><\/td>\n<\/tr>\n \n Septiembre<\/td>\n 1<\/td>\n 9<\/td>\n 2<\/td>\n 4<\/td>\n 16<\/strong><\/td>\n<\/tr>\n \n TOTAL<\/td>\n 4<\/strong><\/td>\n 88<\/strong><\/td>\n 30<\/strong><\/td>\n 26<\/strong><\/td>\n 148<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n ![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2020\/09\/resumen-vulnerabilidades.png\")
<\/figure>\n