CSIRT Panamá Aviso 2021-02-15 SAP: Actualización de seguridad de SAP de febrero de 2021

TOPICS:

Posted By: CSIRT Panamá February 17, 2021

CSIRT Panamá Aviso 2021-02-15 SAP: Actualización de seguridad de SAP de febrero de 2021

Gravedad: Alta                                                                                                   

Fecha de publicación: Febrero 15, 2021
Última revisión: Febrero 15, 2021

Sitio web: https://support.sap.com/
Sistemas Afectados:

  • SAP Business Client, versión 6.5;
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP Business Warehouse, versiones 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 782;
  • SAP NetWeaver AS ABAP (SAP Landscape Transformation – DMIS), versiones 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 y 2011_1_752, 2020;
  • SAP S4 HANA (SAP Landscape Transformation), versiones 101, 102, 103, 104 y 105;
  • SAP NetWeaver AS ABAP, versiones 740, 750, 751, 752, 753, 754 y 755;
  • SAP Software Provisioning Manager 1.0 (SAP NetWeaver Master Data Management Server 7.1), versión 1.0;
  • SAP NetWeaver Process Integration (Java Proxy Runtime), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
  • SAP Business Objects Business Intelligence Platform (CMC and BI Launchpad), versiones 410, 420 y 430;
  • SAP UI5, versiones 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4 y 1.86.1;
  • SAP Web Dynpro ABAP;
  • SAP UI, versiones 7.5, 7.51, 7.52, 7.53 y 7.54;
  • SAP UI 700, versión 2.0;
  • SAP HANA Database, versiones 1.0 y 2.0;
  • SAP NetWeaver Master Data Management Server, versiones 710 y 710.750..  
  • Descripción

Vulnerabilidades críticas que afectan a diferentes productos SAP, en su reportes de parches de seguridad del mes de febrero, ha emitido un total de 7 notas de seguridad y 6 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 2 altas y 8 medias.

  1. Impacto

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 1 vulnerabilidad de secuestro del click,
  • 1 vulnerabilidad de Cross Site Scripting,
  • 1 vulnerabilidad de denegación de servicio,
  • 3 vulnerabilidades de falta de comprobación de autorización,
  • 1 vulnerabilidad de ejecución remota de código,
  • 1 vulnerabilidad de SQL injection,
  • 6 vulnerabilidades de otro tipo.

Vulnerabilidad: CVE-2021-21477

Un atacante autenticado, con privilegios para editar las reglas drools en SAP Commerce Cloud, podría ser capaz de inyectar código malicioso en ellas. Esto permitiría la ejecución remota de código cuando las reglas son ejecutadas, pudiendo comprometer el host subyacente y afectar a la confidencialidad, integridad y disponibilidad de la aplicación.

Vulnerabilidad: Tabnabbing inverso

Este fallo podría permitir que un documento enlazado, que se abra en una nueva pestaña o ventana del navegador, redirija o reemplace la página original por una página de phishing sin ninguna interacción por parte del usuario.

III. Referencia a soluciones, herramientas e información

Actualización de SAP en su sitio oficial, en el siguiente enlace: https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html

Fuentes:

  • Common Vulnerabilities and Exposures. Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21477
  • CSIRT Chile. 15 de febrero del 2021. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00390-01/
  • INCIBE-CERT. Actualización de seguridad de SAP de febrero de 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-febrero-2021

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124