Notas de Seguridad SAP, Junio 2024

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas junio 2024

Resumen y highlights del Mes

El número total de notas/parches ha sido de 13, 4 menos que el mes pasado. Este mes no ha habido ninguna HotNew, a diferencia del mes pasado, que hubo 3. Por otro lado, cabe destacar que el número de notas de criticidad alta ha aumentado con respecto al mes pasado: 2 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar, pero daremos detalle de un total de 2 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 13 notas para todo el mes (las 13 del patch Tuesday, 10 nuevas y 3 actualizaciones).

Revisaremos en detalle un total de 2 notas, las 2 notas altas de este mes, que se tratan de notas nuevas (aquellas de CVSS mayor o igual a 7)

  1. La nota más crítica del mes (con CVSS 8,1) es una nota nueva relacionada con “Cross-Site Scripting (XSS) vulnerabilities in SAP Financial Consolidation”.
  2. La siguiente en criticidad (CVSS 7,5) es una nota alta relacionada con “Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)”.
  3. Las siguientes en criticidad (CVSS 6,5) se tratan de notas medias relacionadas con “Denial of service (DOS) in SAP NetWeaver and ABAP platform”, “Unrestricted file upload in SAP Document Builder (HTTP service)” y “Missing Authorization check in SAP S/4HANA (Manage Incoming Payment Files)”
  4. Este mes el tipo más predominante es relacionado con “Missing Authorization check in SAP” (4/13 en patch day).

En la gráfica podemos ver la clasificación de las notas de junio, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

  1.  Cross-Site Scripting (XSS) vulnerabilities in SAP Financial Consolidation (3457592): This security note addresses two vulnerabilities in SAP Financial Consolidation: Reflected XSS: SAP Financial Consolidation allows data to enter a web application through an untrusted source, which can modify website content and significantly impact the confidentiality and integrity of the application if successfully exploited & Stored XSS: SAP Financial Consolidation does not properly encrypt user input, allowing Cross-Site Scripting (XSS) attacks that can impact application confidentiality. URL parameters are now properly encoded to prevent XSS attacks. It is recommended to implement the support packages and patches mentioned in the SAP Note. CVSS v3 Base Score: 8,1/ 10 [CVE-2024-37177]
  2.  Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository) (3460407): Due to the unrestricted access to the metamodel repository services in SAP NetWeaver AS Java, attackers can perform DoS attacks, preventing access to legitimate users. This severely affects the availability, but not the confidentiality and integrity of the application. The code has been fixed and the application has been configured securely, so it is recommended to implement the support packages and patches mentioned in the SAP Note. CVSS v3 Base Score 7,5 / 10 [CVE-2024-34688].

Enlaces de referencia

Referencias, en inglés de SAP y Onapsis (junio):

Digital Library (sap.com)

SAP Patch Day: June 2024 – Onapsis

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

  • SAP Financial Consolidation, Version – FINANCE 1010
  • SAP NetWeaver AS Java, Version – MMR_SERVER 7.5
  • SAP NetWeaver and ABAP platform, Versions – ST-PI 2008_1_700, 2008_1_710, 740
  • SAP Document Builder, Versions – S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747, 748
  • SAP S/4HANA (Manage Incoming Payment Files), Versions – S4CORE 102, 103, 104, 105, 106, 107, 108
  • SAP CRM WebClient UI, Versions – S4FND 102, 103, 104, 105, 106, 107, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800, 801
  • SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795, SAP_BASIS 796
  • SAP BW/4HANA Transformation and Data Transfer Process, Versions – DW4CORE 200, 300, 400, 796, SAP_BW 740, 750, 751, 752, 753, 754, 755, 756, 757, 758
  • SAP Student Life Cycle Management, Versions – IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808
  • SAP NetWeaver AS Java, Version – GP-CORE 7.5
  • Central Finance Infrastructure Components, Versions – SAP_FIN 720, 730, SAPSCORE 114, S4CORE 100, 101, 102
  • SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 420, 430, 440
  • SAP Bank Account Management, Versions – 100, 101, 102, 103, 104, 105, 106, 107, 108

¿Te ha gustado?

¡Compártelo en redes sociales!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Categorías

Calendario de entradas

Nuestros servicios

keyboard_arrow_up