CSIRT Panamá Aviso 2021-09-16 SAP: Actualización de seguridad de SAP de septiembre de 2021
Gravedad: Critica
Fecha de publicación: Septiembre 16, 2021
Última revisión: Septiembre 16, 2021
Sitio web: https://support.sap.com/
Sistemas Afectados:
• SAP Business Client, versión 6.5, 7.0 y 7.70;
• SAP NetWeaver Application Server Java (JMS Connector Service), versión 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Business One, versión 10.0;
• SAP S/4HANA, versión 1511, 1610, 1709, 1809, 1909, 2020 y 2021;
• SAP LT Replication Server, versión 2.0 y 3.0;
• SAP LTRS for S/4HANA, versión 1.0;
• SAP Test Data Migration Server, versión 4.0;
• SAP Landscape Transformation, versión 2.0;
• SAP NetWeaver (Visual Composer 7.0 RT), versión 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver Knowledge Management XML Forms, versión 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
• SAP Contact Center, versión 700;
• SAP Web Dispatcher:
o WEBDISP, versión 7.49, 7.53, 7.77 y 7.81;
o KRNL64NUC, versión 7.22, 7.22EXT y 7.49;
o KRNL64UC, versión 7.22, 7.22EXT, 7.49 y 7.53;
o KERNEL, versión 7.22, 7.49, 7.53, 7.77, 7.81 y 7.83;
• SAP Analysis for Microsoft Office, versión 2.8;
• SAP BusinessObjects Business Intelligence Platform (BI Workspace), versión 420;
• SAP ERP Financial Accounting (RFOPENPOSTING_FR):
o SAP_APPL, versión 600, 602, 603, 604, 605, 606 y 616;
o SAP_FIN, versión 617, 618, 700, 720 y 730;
o SAPSCORE, versión 125, S4CORE, 100, 101, 102, 103, 104 y 105;
• SAP NetWeaver Enterprise Portal, versión 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP 3D Visual Enterprise Viewer, versión 9.0.
III. Descripción
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual, ha emitido un total de 17 notas de seguridad y 2 actualizaciones de notas anteriores, siendo 7 de severidad crítica, 2 de severidad alta y 10 de severidad media.
IV. Impacto
Vulnerabilidad: CVE-2021-37535
SAP NetWeaver Application Server Java ha corregido una vulnerabilidad de falta de comprobación de autenticación que podría permitir a un atacante leer, modificar o eliminar datos restringidos.
Vulnerabilidad: CVE-2021-37531
SAP NetWeaver Knowledge Management ha corregido una vulnerabilidad que podría permitir a un atacante, no autenticado y sin privilegios de administrador, la inyección de código.
Vulnerabilidad: CVE-2021-38163
SAP NetWeaver ha corregido una vulnerabilidad de subida de archivos no restringida que podría permitir a un atacante sin privilegios de administrador realizar una escalada de privilegios para leer o modificar información del servidor o causar una condición de denegación de servicio.
Vulnerabilidad: CVE-2021-33672
SAP Contact Center han corregido vulnerabilidades de inyección de comandos del SO y XSS reflejado que podrían permitir a un atacante comprometer la confidencialidad, integridad y disponibilidad de la aplicación, inyectando un script malicioso en un mensaje de chat y aprovechando los controles ActiveX.
Vulnerabilidad: CVE-2021-38176
SAP NZDT Mapping Table Framework ha corregido una vulnerabilidad de inyección SQL que podría permitir a un atacante, autenticado y con privilegios, realizar consultas manipuladas para acceder a la base de datos del backend.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33698, CVE-2021-38162, CVE-2021-38177, CVE-2021-33685, CVE-2021-38175, CVE-2021-38150, CVE-2021-33679, CVE-2021-38164, CVE-2021-33686, CVE-2021-21489, CVE-2021-33688, CVE-2021-37532 y CVE-2021-38174.
III. Referencia a soluciones, herramientas e información
Actualizar las versiones de los productos SAP mediante su sitio oficial, https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualización de seguridad de SAP de septiembre de 2021. 15 de septiembre del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-septiembre-2021
- SAP Security Patch Day – September 2021. Recopilado en: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124