Alerta temprana

TLP:CLEAR PAP:WHITE

Boletín de seguridad de SAP de julio de 2023

Descripción

En el boletín de seguridad de SAP Security Patch Day se lanzan 16 nuevas actualizaciones de seguridad. Además, hay 2 actualizaciones de otras previamente ya comentadas.

Actualización del Boletín de seguridad de Abril de 2018 [crítica]. Actualizaciones de seguridad para el control del navegador Google Chromium entregadas con SAP Business Client.
CVE-2023-36922 [crítica]. Vulnerabilidad de inyección de comandos del sistema operativo en SAP ECC y SAP S/4HANA (IS-OIL).
CVE-2023-33989 [alta]. Vulnerabilidad de Directory Traversal en SAP NetWeaver (BI CONT ADD ON).
CVE-2023-33987 [alta]. Vulnerabilidad de contrabando y concatenación de solicitudes en SAP Web Dispatcher.
CVE-2023-33991 [alta]. Vulnerabilidad de Cross-Site Scripting almacenada en SAP UI5 (Gestión de variantes).
CVE-2023-33990 [alta]. Vulnerabilidad de denegación de servicio (DOS) en SAP SQL Anywhere.
CVE-2023-35871[alta]. Vulnerabilidad de corrupción de memoria en SAP Web Dispatcher.
CVE-2023-36925[alta]. SSRF ciego no autenticado en SAP Solution Manager (agente de diagnóstico).
CVE-2023-36921[alta]. Inyección de encabezado en SAP Solution Manager (agente de diagnóstico).

El resto de vulnerabilidades, de riesgo medio, pueden ser revisadas en la publicación oficial.

Productos afectados

SAP Business Client, Versions - 6.5, 7.0, 7.70
SAP ECC and SAP S/4HANA (IS-OIL), Versions - 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807
SAP NetWeaver (BI CONT ADD ON), Versions – 707, 737, 747, 757
SAP Web Dispatcher, Versions – WEBDISP 7.49, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.81, WEBDISP 7.85, WEBDISP 7.88, WEBDISP 7.89, WEBDISP 7.90, KERNEL 7.49, KERNEL 7.53, KERNEL 7.54 KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.88, KERNEL 7.89, KERNEL 7.90, KRNL64NUC 7.49, KRNL64UC 7.49, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1
SAP UI5 Variant Management, Versions – SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, UI_700 200
SAP SQL Anywhere, Version - 17.0
SAP Web Dispatcher, Versions - WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP 7.89, WEBDISP 7.91, WEBDISP 7.92, WEBDISP 7.93, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1
SAP Solution Manager (Diagnostic Agent), Versions – 7.20

Riesgo

Crítico

Soluciones

Se recomienda acudir a la Publicación Oficial, en el apartado de Referencias, y consultar las indicaciones de la firma.

Referencias

Publicación oficial

Contacto

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es