[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2020\/08\/SAP-Security-Patch-Day.png” alt=”cloud-public” title_text=”SAP-Security-Patch-Day” admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” header_4_font_size=”17px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” width=”%22630%22″ height=”%22307%22″ hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|hover” sticky_enabled=”0″]<\/p>\n
Como cada segundo martes de mes, el\u00a0equipo de seguridad de SAP<\/strong>\u00a0ha compartido las\u00a0notas de seguridad\u00a0<\/strong>que solucionan vulnerabilidades en los sistemas SAP en el ya denominado\u00a0 \u201cSAP Security Patch Day\u201d. Desde Oreka IT os iremos trayendo estos avisos de forma peri\u00f3dica en el #orekaitblog<\/p>\n Este mes hay\u00a015 notas de seguridad<\/strong>\u00a0de las cuales 8 son de prioridad alta con una puntuaci\u00f3n CVSS por encima de 7.<\/p>\n CVSS son las siglas de Common Vulnerability Scoring System<\/strong>, un sistema de puntuaci\u00f3n que proporciona un m\u00e9todo est\u00e1ndar y abierto para estimar el impacto de una vulnerabilidad y que se compone de tres grupos principales de m\u00e9tricas: \u00abBase\u00bb, \u00abTemporal\u00bb y de \u00abEntorno\u00bb (Environmental). Cada uno de estos grupos se compone a su vez de un conjunto de m\u00e9tricas. La organizaci\u00f3n responsable de este sistema es la organizaci\u00f3n\u00a0FIRST (Forum of Incident Response and Security Teams)<\/a><\/p>\n Volviendo a SAP, adem\u00e1s de la ya muy comentada vulnerabilidad\u00a0CVE-2020-6287<\/a>, tratada en el\u00a0art\u00edculo<\/a>\u00a0del blog, con la m\u00e1xima puntuaci\u00f3n posible, se suma la siguientes vulnerabilidad con un\u00a09 en la puntuaci\u00f3n CVSS<\/strong>:<\/p>\n [CVE-2020-6284<\/a>]\u00a0Cross-Site Scripting (XSS) vulnerability in SAP Netweaver (Knowledge Management)<\/strong><\/p>\n Esta vulnerabilidad que afecta a las versiones de NW 7.30, 7.31, 7.40, 7.50 que utilicen el KM, permite la ejecuci\u00f3n autom\u00e1tica de\u00a0scripts<\/em>\u00a0dentro de un archivo almacenado pudiendo escalar y obtener privilegios comprometiendo la confidencialidad, integridad y disponibilidad del sistema<\/p>\n El siguiente cuadro muestra todas las notas liberadas durante el mes con los sistemas a los que aplica:<\/p>\n En lo que llevamos de a\u00f1o el equipo de seguridad de SAP lleva liberadas 132 notas de seguridad de las cuales 22 tienes una puntuaci\u00f3n CVSS por encima de 9 y 28 por encima de 7.<\/p>\n El desglose de notas liberadas por desglose de tipos de vulnerabilidades en lo que llevamos de a\u00f1o es<\/p>\n Menci\u00f3n especial a las 27 brechas de tipo Cross-Site Scripting que permite insertar c\u00f3digo malicioso en paginas web de confianza. En SAP podemos ver estas p\u00e1ginas, por ejemplo, en todos los sistemas que utilicen el Fiori Launchpad.<\/p>\n Tras estos datos objetivos, solo queda recomendar realizar mensualmente un chequeo de las notas de seguridad liberadas por SAP e instalar la que apliquen a los sistemas de cada empresa.<\/p>\n Fuente:\u00a0https:\/\/www.incibe-cert.es\/<\/a>\u00a0\u00b7\u00a0https:\/\/wiki.scn.sap.com\/<\/a><\/p>\n <\/p>\nQu\u00e9 es CVSS<\/strong><\/h2>\n
![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2020\/08\/Notas-Agosto-2020-1.png\")
\n\n
\n \u00a0<\/td>\n LOW<\/td>\n MEDIUM<\/td>\n HIGH<\/td>\n HOT NEWS<\/td>\n TOTAL<\/strong><\/td>\n<\/tr>\n \n Enero<\/td>\n 1<\/td>\n 6<\/td>\n \u00a0<\/td>\n \u00a0<\/td>\n 7<\/strong><\/td>\n<\/tr>\n \n Febrero<\/td>\n \u00a0<\/td>\n 11<\/td>\n 3<\/td>\n 1<\/td>\n 15<\/strong><\/td>\n<\/tr>\n \n Marzo<\/td>\n 1<\/td>\n 9<\/td>\n 4<\/td>\n 4<\/td>\n 18<\/strong><\/td>\n<\/tr>\n \n Abril<\/td>\n \u00a0<\/td>\n 16<\/td>\n 5<\/td>\n 5<\/td>\n 26<\/strong><\/td>\n<\/tr>\n \n Mayo<\/td>\n \u00a0<\/td>\n 11<\/td>\n 5<\/td>\n 6<\/td>\n 22<\/strong><\/td>\n<\/tr>\n \n Junio<\/td>\n \u00a0<\/td>\n 12<\/td>\n 4<\/td>\n 2<\/td>\n 18<\/strong><\/td>\n<\/tr>\n \n Julio<\/td>\n 1<\/td>\n 6<\/td>\n 1<\/td>\n 2<\/td>\n 10<\/strong><\/td>\n<\/tr>\n \n Agosto<\/td>\n \u00a0<\/td>\n 8<\/td>\n 6<\/td>\n 2<\/td>\n 16<\/strong><\/td>\n<\/tr>\n \n TOTAL<\/strong><\/td>\n 3<\/strong><\/td>\n 79<\/strong><\/td>\n 28<\/strong><\/td>\n 22<\/strong><\/td>\n 132<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n ![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2020\/08\/Desglose-Notas-1.png\")