CSIRT Panamá Aviso 2021-07-14 SAP: Actualización de seguridad de SAP de julio 2021

TOPICS:

Posted By: CSIRT Panamá July 14, 2021

CSIRT Panamá Aviso 2021-07-14 SAP: Actualización de seguridad de SAP de julio 2021

Gravedad: Alta
Fecha de publicación: Julio 14, 2021
Última revisión: Julio 14, 2021
Sitio web: https://support.sap.com/
Sistemas Afectados:
• SAP Business Client, versión 6.5;
• SAP NetWeaver AS ABAP y ABAP Platform, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 804;
• SAP NetWeaver Guided Procedures (Administration Workset), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver AS for Java (Http Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP CRM, versiones 700, 701, 702, 712, 713 y 714;
• SAP Process Integration (Enterprise Service Repository JAVA Mappings), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver AS ABAP y ABAP Platform, versiones 700, 702, 730, 731, 804, 740, 750, 784 y DEV;
• SAP NetWeaver AS ABAP (Reconciliation Framework), versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 75A, 75B, 75B, 75C, 75D, 75E y 75F;
• SAP Lumira Server, versión 2.4;
• SAP Web Dispatcher y Internet Communication Manager:
o KRNL32NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
o KRNL32UC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
o KRNL64NUC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
o KRNL64UC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53 y 7.73;
o WEBDISP, versiones 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
o KERNEL, versiones 7.21, 7.22, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
• SAP NetWeaver AS ABAP y ABAP Platform:
o KRNL32NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
o KRNL32UC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
o KRNL64NUC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
o KRNL64UC, versiones 8.04, 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49 y 7.53;
o KERNEL, versiones 8.04, 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.77, 7.81 y 7.84.
• SAP NetWeaver AS JAVA (Enterprise Portal), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Business Objects Web Intelligence (BI Launchpad), versiones 420 y 430;
• SAP 3D Visual Enterprise Viewer, versión 9.0;
• SAP NetWeaver AS JAVA (Administrator applications), versión 7.50.
III. Descripción
Actualizaciones de seguridad en los diversos productos SAP, indicando 12 notas de seguridad y 3 actualizaciones de notas anteriores, siendo 2 de severidad crítica, 2 de severidad alta, 10 de severidad media y 1 de severidad baja.
IV. Impacto
Las vulnerabilidades publicadas son:
• 1 vulnerabilidad de inyección de código;
• 1vulnerabilidad de XSS (Cross-Site Scripting);
• 1 vulnerabilidad de denegación de servicio (DoS);
• 1 vulnerabilidad de autenticación inadecuada;
• 3 vulnerabilidades de revelación de información;
• 2 vulnerabilidades de falta de comprobación de autenticación;
• 7 vulnerabilidades de otro tipo.
Las nuevas notas de seguridad más destacadas se refieren a:
Vulnerabilidad: CVE-2021-33671
SAP NetWeaver Guided Procedures: se corrige una vulnerabilidad de falta de autenticación que podría permitir una lectura, modificación o eliminación de datos por parte de un usuario no autorizado.
Vulnerabilidad: CVE-2021-33670
SAP NetWeaver AS for Java: se corrige una vulnerabilidad de validación inadecuada de las solicitudes HTTP al almacenar datos de monitorización, lo que podría permitir a un atacante establecer una condición de denegación de servicio mediante la manipulación de las solicitudes HTTP.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-27610, CVE-2021-33676, CVE-2021-27604, CVE-2021-33677, CVE-2021-33678, CVE-2021-33682, CVE-2021-33683, CVE-2021-33684, CVE-2021-33687, CVE-2021-33667, CVE-2021-33681, CVE-2021-33680 y CVE-2021-33689.
III. Referencia a soluciones, herramientas e información
Instalar las actualizaciones o los parches necesarios, según indique el fabricante, mediante el siguiente enlace: https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualización de seguridad de SAP de julio de 2021. 14 de julio del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-julio-2021
  2. SAP Security Patch Day – July 2021. Comunity Wiki SAP. 13 de julio del 2021. Recopilado en: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=580617506
  3. SAP Security Patch Day July 2021: Serious Vulnerabilities in SAP NetWeaver AS Java fixed. Onapsis. 13 de julio del 2021. Recopilado en: https://onapsis.com/blog/sap-security-patch-day-july-2021-serious-vulnerabilities-sap-netweaver-java-fixed

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124