[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2020\/10\/SAP-Security-Patch-day-Octubre-1.png” alt=”cloud-public” title_text=”SAP-Security-Patch-day-Octubre-1″ admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” header_4_font_size=”17px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” width=”%22630%22″ height=”%22307%22″ hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|desktop” sticky_enabled=”0″]<\/p>\n
Como cada segundo martes de cada mes, el equipo de seguridad de SAP ha compartido las\u00a0notas de seguridad<\/strong>\u00a0que solucionan vulnerabilidades en los sistemas SAP en el ya denominado\u00a0 \u201cSAP Security Patch Day\u201d<\/p>\n Este mes, hay\u00a021 notas de seguridad<\/strong>, de las cuales 9 son de prioridad alta con una puntuaci\u00f3n CVSS por encima de 7. De las 21 notas, 6 son versiones anteriores de otros meses. De las 9 notas de prioridad alta 4 han sido encontradas en el ultimo mes y por tanto las mas importantes para chequear si afectan o no a nuestros sistemas<\/p>\n Este mes se han encontrado\u00a02 vulnerabilidades importantes<\/strong>\u00a0en los sistemas CA Introscope que afectan a los sistemas SAP Solution Manager y SAP Focused Run ya que es el que se encarga entre otras cosas de mandar los datos de los sistemas JAVA.<\/p>\n La vulnerabilidad m\u00e1s importante y la que tiene un 10 en la puntuaci\u00f3n CVSS es\u00a0CVE-2020-6364<\/a>\u00a0\u2013\u00a0OS Command Injection Vulnerability in CA Introscope Enterprise Manager. Se basa en inyectar comandos OS remotos a trav\u00e9s de la versi\u00f3n\u00a0<\/strong>10.7.0.304\u00a0o anteriores.\u00a0De esta manera, un atacante, puede explotar los escenarios de Solution Manager y Focused Run, pudiendo escalar privilegios.\u00a0<\/strong>Esto puede afectar la integridad, confidencialidad y disponibilidad del servicio.<\/p>\n La soluci\u00f3n pasa por actualizar el programa CA Introscope Enterprise Manager a versiones posteriores a la 10.7.0.304, y si no es posible, dejar apagado el CA Introscope.<\/p>\n La otra vulnerabilidad que afecta a estos sistemas con una puntuaci\u00f3n CVSS de 7.5 es\u00a0CVE-2020-6369<\/a>\u00a0Hard-coded Credentials in CA Introscope Enterprise Manager,\u00a0<\/strong>que permite a los atacantes no autenticados, eludir la autenticaci\u00f3n si el administrador del sistema no ha cambiado las contrase\u00f1as predeterminadas. Esto puede afectar a la confidencialidad del servicio.<\/strong><\/p>\n La soluci\u00f3n de esta vulnerabilidad pasa por actualizar a versiones de CA Introscope posteriores a la\u00a0<\/strong>10.7.0.306 o modificar las contrase\u00f1as de los usuarios est\u00e1ndar manualmente.<\/p>\n Seguimos con la vulnerabilidad<\/strong>\u00a0Security updates for the browser control Google Chromium delivered with SAP Business Client\u00a0<\/strong>liberada en el Patch day de abril de 2018 y ya explicamos en el\u00a0art\u00edculo<\/a>\u00a0del mes pasado, pero el que vuelva a la lista con una puntuaci\u00f3n CVSS de 9.8, nos obliga a mencionarla.<\/p>\n Adem\u00e1s de las 3 vulnerabilidades comentadas, pod\u00e9is ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:<\/p>\n <\/p>\n En lo que llevamos de a\u00f1o el equipo de seguridad de SAP lleva liberadas 169 notas de seguridad de las cuales 28 tienes una puntuaci\u00f3n CVSS por encima de 9 y 37 por encima de 7.<\/p>\n El desglose de notas liberadas por tipos de vulnerabilidades en lo que llevamos de a\u00f1o es:<\/p>\n <\/p>\n En el launchpad de SAP, existe un apartado donde est\u00e1n listadas todas las notas de seguridad liberadas. La url es\u00a0https:\/\/launchpad.support.sap.com\/#\/securitynotes<\/a>\u00a0y en esta aplicaci\u00f3n se pueden listar los sistemas que tengamos como productivos en SAP e ir decidiendo una acci\u00f3n sobre cada una de las notas. Las opciones son: confirmar, para marcar las que ya hayamos instalado en nuestro sistema o No Relevante, para las notas que no aplican a nuestro sistema. De esta manera, podremos tener un\u00a0control mas exhaustivo de la seguridad de nuestros sistemas<\/strong>\u00a0en cuanto a notas se refiere.<\/p>\n Como siempre, solo queda recomendar realizar mensualmente un chequeo de las notas de seguridad liberadas por SAP e instalar la que apliquen a los sistemas de cada empresa.<\/p>\n Fuente:<\/p>\n https:\/\/wiki.scn.sap.com\/<\/a><\/p>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2020\/10\/Imagen1.png\")
<\/figure>\n<\/div>\n\n\n
\n \u00a0<\/td>\n LOW<\/strong><\/td>\n MEDIUM<\/strong><\/td>\n HIGH<\/strong><\/td>\n HOT NEWS<\/strong><\/td>\n TOTAL<\/strong><\/td>\n<\/tr>\n \n Enero<\/td>\n 1<\/td>\n 6<\/td>\n \u00a0<\/td>\n \u00a0<\/td>\n 7<\/strong><\/td>\n<\/tr>\n \n Febrero<\/td>\n \u00a0<\/td>\n 11<\/td>\n 3<\/td>\n 1<\/td>\n 15<\/strong><\/td>\n<\/tr>\n \n Marzo<\/td>\n 1<\/td>\n 9<\/td>\n 4<\/td>\n 4<\/td>\n 18<\/strong><\/td>\n<\/tr>\n \n Abril<\/td>\n \u00a0<\/td>\n 16<\/td>\n 5<\/td>\n 5<\/td>\n 26<\/strong><\/td>\n<\/tr>\n \n Mayo<\/td>\n \u00a0<\/td>\n 11<\/td>\n 5<\/td>\n 6<\/td>\n 22<\/strong><\/td>\n<\/tr>\n \n Junio<\/td>\n \u00a0<\/td>\n 12<\/td>\n 4<\/td>\n 2<\/td>\n 18<\/strong><\/td>\n<\/tr>\n \n Julio<\/td>\n 1<\/td>\n 6<\/td>\n 1<\/td>\n 2<\/td>\n 10<\/strong><\/td>\n<\/tr>\n \n Agosto<\/td>\n \u00a0<\/td>\n 8<\/td>\n 6<\/td>\n 2<\/td>\n 16<\/strong><\/td>\n<\/tr>\n \n Septiembre<\/td>\n 1<\/td>\n 9<\/td>\n 2<\/td>\n 4<\/td>\n 16<\/strong><\/td>\n<\/tr>\n \n Octubre<\/td>\n 1<\/td>\n 11<\/td>\n 7<\/td>\n 2<\/td>\n 21<\/strong><\/td>\n<\/tr>\n \n TOTAL<\/strong><\/td>\n 5<\/strong><\/td>\n 99<\/strong><\/td>\n 37<\/strong><\/td>\n 28<\/strong><\/td>\n 169<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n ![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2020\/10\/Imagen2.png\")
<\/figure>\n<\/div>\n