[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2020\/11\/SAP-Security-Patch-day-Noviembre-1.png” alt=”cloud-public” title_text=”SAP-Security-Patch-day-Noviembre-1″ admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” header_4_font_size=”17px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” width=”%22630%22″ height=”%22307%22″ hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|hover” sticky_enabled=”0″]<\/p>\n
Volvemos, como cada mes, con el art\u00edculo escrito a partir de la liberaci\u00f3n por parte del\u00a0departamento de seguridad de SAP<\/strong>\u00a0del \u201cSAP Security Patch Day. Como siempre, intentaremos dar una visi\u00f3n m\u00e1s cercana de las vulnerabilidades encontradas en el mes y c\u00f3mo aplicarlas en los sistemas. Sobre todo las de m\u00e1s criticidad, llamadas\u00a0Hot News.<\/strong><\/p>\n Este mes hay 15 notas de seguridad de las cuales 9 son de prioridad alta con una puntuaci\u00f3n CVSS por encima de 7. De las 15 notas, 3 son actualizaciones de vulnerabilidades descubiertas en meses anteriores. De las 9 notas de prioridad alta, 7 han sido liberadas en el \u00faltimo mes y por tanto\u00a0las m\u00e1s importantes para chequear\u00a0<\/strong>si afectan o no a nuestros sistemas.<\/p>\n La\u00a0vulnerabilidad m\u00e1s importante\u00a0<\/strong>y la que tiene un 10 en la puntuaci\u00f3n tiene que ver con el componente LM-SERVICE de la pila JAVA de Solution Manager y permite a un usuario acceder al sistema sin credenciales, \u00a0comprometiendo el sistema y poniendo en riesgo la integridad y la disponibilidad del servicio. A continuaci\u00f3n, os dejo la lista de vulnerabilidades que afecta a este punto:<\/p>\n Esta vulnerabilidad est\u00e1 presente en versiones por debajo del SP11 del Solution Manager y se solventa actualizando el componente LM-Service a la \u00faltima versi\u00f3n.<\/p>\n Con una puntuaci\u00f3n de 9.8 encontramos una vulnerabilidad que afecta a los sistemas \u00a0SAP Data Service, que deber\u00e1n de actualizar sus versiones para evitar la posibilidad de que un atacante ejecute c\u00f3digo remoto por falta de validaciones o llegue a generar una denegaci\u00f3n de servicios comprometiendo la disponibilidad del servicio.<\/p>\n Otra Hot New liberada con una puntuaci\u00f3n de 9.1 aplica al add-on DMIS los sistemas ABAP y S\/4HANA. Esta vulnerabilidad permite a un usuario autenticado inyectar c\u00f3digo y cambiar el curso de la ejecuci\u00f3n. Se solventa implementando la nota\u00a02973735<\/a>\u00a0o actualizando el componente.<\/p>\n Tambi\u00e9n con un 9.1 encontramos otra vulnerabilidad que permite la escalada de privilegios poniendo en serio compromiso la confidencialidad, integridad y la disponibilidad de los sistemas NW JAVA y que afecta a las versiones 7.20, 7.30, 7.31, 7.40 y 7.50. Para solucionarlo, es necesario actualizar el componente SR-UI.<\/p>\n Para acabar con las Hot News, comentar que vuelven a la lista 2 vulnerabilidades encontradas con anterioridad. La primera<\/strong>\u00a0Missing Authentication Check in SAP Solution Manager,\u00a0<\/strong>liberada en el Patch day de marzo de 2020 al cual le dedicamos un\u00a0art\u00edculo<\/a>\u00a0exclusivo y\u00a0Cross-Site Scripting (XSS) in SAP NetWeaver (Knowledge Management)\u00a0<\/strong>que comentamos en el\u00a0art\u00edculo<\/a>\u00a0del patch day de agosto.<\/p>\n Adem\u00e1s de las 6 vulnerabilidades comentadas, pod\u00e9is ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:<\/p>\n En lo que llevamos de a\u00f1o el equipo de seguridad de SAP lleva liberadas 184 notas de seguridad de las cuales 34 tienes una puntuaci\u00f3n CVSS por encima de 9 y 40 por encima de 7.<\/p>\n Notas de seguridad liberadas por SAP en 2020<\/strong><\/p>\n Desglose de notas liberadas por tipos de vulnerabilidades en lo que llevamos de a\u00f1o<\/strong><\/p>\n Como siempre, solo queda recomendar pasarse por el apartado de\u00a0security notes<\/a>\u00a0del Launchpad de SAP y analizar las notas liberadas desde la \u00faltima actualizaci\u00f3n de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.<\/p>\n Fuente:<\/p>\n\n
![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2020\/11\/SAP-SECURITY-PATCH-DAY-NOVIEMBRE-2020-2-1.png\")
<\/div>\n\n\n
\n \u00a0<\/td>\n LOW<\/td>\n MEDIUM<\/td>\n HIGH<\/td>\n HOT NEWS<\/td>\n TOTAL<\/td>\n<\/tr>\n \n Enero<\/td>\n 1<\/td>\n 6<\/td>\n \u00a0<\/td>\n \u00a0<\/td>\n 7<\/strong><\/td>\n<\/tr>\n \n Febrero<\/td>\n \u00a0<\/td>\n 11<\/td>\n 3<\/td>\n 1<\/td>\n 15<\/strong><\/td>\n<\/tr>\n \n Marzo<\/td>\n 1<\/td>\n 9<\/td>\n 4<\/td>\n 4<\/td>\n 18<\/strong><\/td>\n<\/tr>\n \n Abril<\/td>\n \u00a0<\/td>\n 16<\/td>\n 5<\/td>\n 5<\/td>\n 26<\/strong><\/td>\n<\/tr>\n \n Mayo<\/td>\n \u00a0<\/td>\n 11<\/td>\n 5<\/td>\n 6<\/td>\n 22<\/strong><\/td>\n<\/tr>\n \n Junio<\/td>\n \u00a0<\/td>\n 12<\/td>\n 4<\/td>\n 2<\/td>\n 18<\/strong><\/td>\n<\/tr>\n \n Julio<\/td>\n 1<\/td>\n 6<\/td>\n 1<\/td>\n 2<\/td>\n 10<\/strong><\/td>\n<\/tr>\n \n Agosto<\/td>\n \u00a0<\/td>\n 8<\/td>\n 6<\/td>\n 2<\/td>\n 16<\/strong><\/td>\n<\/tr>\n \n Septiembre<\/td>\n 1<\/td>\n 9<\/td>\n 2<\/td>\n 4<\/td>\n 16<\/strong><\/td>\n<\/tr>\n \n Octubre<\/td>\n \u00a01<\/td>\n 11<\/td>\n 7<\/td>\n 2<\/td>\n 21<\/strong><\/td>\n<\/tr>\n \n Noviembre<\/td>\n \u00a0<\/td>\n 6<\/td>\n 3<\/td>\n 6<\/td>\n 15<\/strong><\/td>\n<\/tr>\n \n TOTAL<\/strong><\/td>\n 5<\/strong><\/td>\n 105<\/strong><\/td>\n 40<\/strong><\/td>\n 34<\/strong><\/td>\n 184<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n ![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2020\/11\/SAP-SECURITY-PATCH-DAY-NOVIEMBRE-2020-3-1.png\")
<\/div>\n