CSIRT Panamá Aviso 2021-04-19 SAP: Actualización de seguridad de SAP de abril de 2021

TOPICS:

Posted By: CSIRT Panamá April 20, 2021

CSIRT Panamá Aviso 2021-04-19 SAP: Actualización de seguridad de SAP de abril de 2021

Gravedad: Alta
Fecha de publicación: Abril 19, 2021
Última revisión: Abril 19, 2021
Sitio web: https://sap.com/
Sistemas Afectados:
• SAP Business Client, versión 6.5;
• SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
• SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver Master Data Management, versiones 710 y 710.750;
• SAP Solution Manager, versión 7.20;
• SAP NetWeaver AS for ABAP, versiones 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 y 2011_1_752, 2020, 731, 740, 750 y 7.30;
• SAP S4 HANA (SAP Landscape Transformation) , versiones 101, 102, 103, 104 y 105;
• SAP Setup, versión 9.0;
• SAP NetWeaver AS for JAVA (Telnet Commands):
o ENGINEAPI, versiones 7.30, 7.31, 7.40 y 7.50;
o ESP_FRAMEWORK, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
o SERVERCORE, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
o J2EE-FRMW, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver AS for JAVA (Applications based on HTMLB for Java):
o EP-BASIS, versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
o FRAMEWORK-EXT , versiones 7.30, 7.31, 7.40 y 7.50;
o FRAMEWORK, versiones 7.10 y 7.11;
• SAP NetWeaver AS for JAVA (Customer Usage Provisioning Servlet), versiones 7.31, 7.40 y 7.50;
• SAP Process Integration, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Manufacturing Execution, versiones 15.1, 15.2, 15.3 y 15.4;
• SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 731, 7.40 y 7.50;
• SAP Focused RUN, versiones 200 y 300;
• SAP NetWeaver AS for JAVA (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Fiori Apps 2.0 for Travel Management in SAP ERP, versión 608.

V. Descripción
Se ha publicado la última versión de WordPress que corrige 26 errores y 2 problemas de seguridad.
VI. Impacto
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 5 de severidad alta y 11 de severidad media.
Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:
• 2 vulnerabilidades de XSS (Cross Site Scripting).
• 1 vulnerabilidad de denegación de servicio (DoS).
• 5 vulnerabilidades de revelación de información.
• 5 vulnerabilidades de falta de comprobación de autenticación.
• 1 vulnerabilidad de ejecución remota de código.
• 5 vulnerabilidades de otro tipo.
Vulnerabilidad CVE-2021-27602: SAP Commerce, se corrige una vulnerabilidad de ejecución remota de código que podría permitir a un atacante no autorizado explotar las capacidades de scripting del motor de reglas para inyectar código malicioso en las reglas de origen, y permitir así la ejecución remota de código.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-21481, CVE-2021-21482, CVE-2021-21483, CVE-2020-26832, CVE-2021-27608, CVE-2021-21485, CVE-2021-27598, CVE-2021-27603, CVE-2021-27599, CVE-2021-27604, CVE-2021-27600, CVE-2021-27601, CVE-2021-21491, CVE-2021-27609, CVE-2021-21492 y CVE-2021-27605.
III. Referencia a soluciones, herramientas e información
Instalar las actualizaciones o los parches necesarios, según indique el fabricante, mediante su sitio oficial, en el siguiente enlace: https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
Fuentes:
? Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualización de seguridad de SAP de abril de 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-abril-2021
? SAP Security Patch Day – April 2021. Risham Guram. 13 de abril 2021. Recopilado en: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649
? SAP Security Patch Day April 2021: Serious Vulnerability Patched in SAP Commerce. Recopilado en: https://onapsis.com/blog/sap-security-patch-day-april-2021-serious-vulnerability-patched-sap-commerce

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124