CSIRT Panamá Aviso 2021-05-12 SAP: Actualización de seguridad de SAP de mayo de 2021

TOPICS:

Posted By: CSIRT Panamá May 13, 2021

CSIRT Panamá Aviso 2021-05-12 SAP: Actualización de seguridad de SAP de mayo de 2021

Gravedad: Alta
Fecha de publicación: Mayo 12, 2021
Última revisión: Mayo 12, 2021
Sitio web: https://sap.com
Sistemas Afectados:
• SAP Business Client, versión 6.5;
• SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
• SAP Business Warehouse, versiones 700, 701, 702, 711, 730, 731, 740, 750 y 782;
• SAP BW4HANA, versiones 100 y 200;
• SAP NetWeaver AS ABAP, versiones 700, 701, 702, 730 y 731;
• SAP Business One para SAP HANA (Cookbooks), versiones 0.1.6, 0.1.7 y 0.1.9;
• SAP Business One (Cookbooks), versión 0.1.9;
• SAP Process Integration (Integration Builder Framework), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver Application Server Java (Applications basadas en Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Focused RUN, versiones 200 y 300;
• SAP GUI for Windows, versiones 7.60 y 7.70.

III. Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

IV. Impacto

SAP comparte su reporte mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, otras 3 de severidad alta, 4 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:
• 3 vulnerabilidades de inyección de código;
• 3 vulnerabilidades de divulgación de información;
• 1 vulnerabilidad de falta de comprobación de autenticación;
• 1 vulnerabilidad de falta de validación XML;
• 1 vulnerabilidad de ejecución remota de código;
• 4 vulnerabilidades de otro tipo.

Las nuevas notas de seguridad más destacadas se refieren a:

Vulnerabilidad: CVE-2021-27611

SAP NetWeaver AS ABAP, se corrige una vulnerabilidad de inyección de código, que podría permitir a un atacante, con acceso local al sistema SAP, leer y sobreescribir datos, así como iniciar un ataque de denegación de servicio.

Vulnerabilidad CVE-2021-27616 y CVE-2021-27613:

SAP Business One (B1) en MS SQL Server y para SAP HANA, se corrigen múltiples vulnerabilidades, que podrían permitir a un atacante divulgar información o inyectar código malicioso.

III. Referencia a soluciones, herramientas e información

Instalar las actualizaciones o los parches necesarios, según indique el fabricante. Mediante el siguiente enlace: https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualización de seguridad de Cisco. 12 de mayo del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-mayo-2021
  2. SAP Security Patch Day – May 2021. Avisos Seguridad, Actualización de seguridad de Cisco. 11 de mayo del 2021. Recopilado en: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=576094655
  3. SAP Security Patch Day May 2021: Calm Patch Day with SAP Business One in Focus. Avisos Seguridad, Actualización de seguridad de Cisco. 11 de mayo del 2021. Recopilado en: https://onapsis.com/blog/sap-security-patch-day-may-2021

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124