{"id":2791,"date":"2021-07-14T09:56:00","date_gmt":"2021-07-14T14:56:00","guid":{"rendered":"https:\/\/cert.pa\/?p=2791"},"modified":"2021-07-14T09:56:00","modified_gmt":"2021-07-14T14:56:00","slug":"csirt-panama-aviso-2021-07-14-sap-actualizacion-de-seguridad-de-sap-de-julio-2021","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2791","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2021-07-14 SAP: Actualizaci\u00f3n de seguridad de SAP de julio 2021"},"content":{"rendered":"\n

CSIRT Panam\u00e1 Aviso 2021-07-14 SAP: Actualizaci\u00f3n de seguridad de SAP de julio 2021<\/p>\n\n\n\n

Gravedad: Alta
Fecha de publicaci\u00f3n: Julio 14, 2021
\u00daltima revisi\u00f3n: Julio 14, 2021
Sitio web: https:\/\/support.sap.com\/
Sistemas Afectados:
\u2022 SAP Business Client, versi\u00f3n 6.5;
\u2022 SAP NetWeaver AS ABAP y ABAP Platform, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 804;
\u2022 SAP NetWeaver Guided Procedures (Administration Workset), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
\u2022 SAP NetWeaver AS for Java (Http Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
\u2022 SAP CRM, versiones 700, 701, 702, 712, 713 y 714;
\u2022 SAP Process Integration (Enterprise Service Repository JAVA Mappings), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
\u2022 SAP NetWeaver AS ABAP y ABAP Platform, versiones 700, 702, 730, 731, 804, 740, 750, 784 y DEV;
\u2022 SAP NetWeaver AS ABAP (Reconciliation Framework), versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 75A, 75B, 75B, 75C, 75D, 75E y 75F;
\u2022 SAP Lumira Server, versi\u00f3n 2.4;
\u2022 SAP Web Dispatcher y Internet Communication Manager:
o KRNL32NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
o KRNL32UC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
o KRNL64NUC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
o KRNL64UC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53 y 7.73;
o WEBDISP, versiones 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
o KERNEL, versiones 7.21, 7.22, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
\u2022 SAP NetWeaver AS ABAP y ABAP Platform:
o KRNL32NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
o KRNL32UC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
o KRNL64NUC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
o KRNL64UC, versiones 8.04, 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49 y 7.53;
o KERNEL, versiones 8.04, 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.77, 7.81 y 7.84.
\u2022 SAP NetWeaver AS JAVA (Enterprise Portal), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
\u2022 SAP Business Objects Web Intelligence (BI Launchpad), versiones 420 y 430;
\u2022 SAP 3D Visual Enterprise Viewer, versi\u00f3n 9.0;
\u2022 SAP NetWeaver AS JAVA (Administrator applications), versi\u00f3n 7.50.
III. Descripci\u00f3n
Actualizaciones de seguridad en los diversos productos SAP, indicando 12 notas de seguridad y 3 actualizaciones de notas anteriores, siendo 2 de severidad cr\u00edtica, 2 de severidad alta, 10 de severidad media y 1 de severidad baja.
IV. Impacto
Las vulnerabilidades publicadas son:
\u2022 1 vulnerabilidad de inyecci\u00f3n de c\u00f3digo;
\u2022 1vulnerabilidad de XSS (Cross-Site Scripting);
\u2022 1 vulnerabilidad de denegaci\u00f3n de servicio (DoS);
\u2022 1 vulnerabilidad de autenticaci\u00f3n inadecuada;
\u2022 3 vulnerabilidades de revelaci\u00f3n de informaci\u00f3n;
\u2022 2 vulnerabilidades de falta de comprobaci\u00f3n de autenticaci\u00f3n;
\u2022 7 vulnerabilidades de otro tipo.
Las nuevas notas de seguridad m\u00e1s destacadas se refieren a:
Vulnerabilidad: CVE-2021-33671
SAP NetWeaver Guided Procedures: se corrige una vulnerabilidad de falta de autenticaci\u00f3n que podr\u00eda permitir una lectura, modificaci\u00f3n o eliminaci\u00f3n de datos por parte de un usuario no autorizado.
Vulnerabilidad: CVE-2021-33670
SAP NetWeaver AS for Java: se corrige una vulnerabilidad de validaci\u00f3n inadecuada de las solicitudes HTTP al almacenar datos de monitorizaci\u00f3n, lo que podr\u00eda permitir a un atacante establecer una condici\u00f3n de denegaci\u00f3n de servicio mediante la manipulaci\u00f3n de las solicitudes HTTP.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-27610, CVE-2021-33676, CVE-2021-27604, CVE-2021-33677, CVE-2021-33678, CVE-2021-33682, CVE-2021-33683, CVE-2021-33684, CVE-2021-33687, CVE-2021-33667, CVE-2021-33681, CVE-2021-33680 y CVE-2021-33689.
III. Referencia a soluciones, herramientas e informaci\u00f3n
Instalar las actualizaciones o los parches necesarios, seg\u00fan indique el fabricante, mediante el siguiente enlace: https:\/\/support.sap.com\/en\/my-support\/knowledge-base\/security-notes-news.html
Fuentes:<\/p>\n\n\n\n

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualizaci\u00f3n de seguridad de SAP de julio de 2021. 14 de julio del 2021. Recopilado en: https:\/\/www.incibe-cert.es\/alerta-temprana\/avisos-seguridad\/actualizacion-seguridad-sap-julio-2021<\/li>
  2. SAP Security Patch Day \u2013 July 2021. Comunity Wiki SAP. 13 de julio del 2021. Recopilado en: https:\/\/wiki.scn.sap.com\/wiki\/pages\/viewpage.action?pageId=580617506<\/li>
  3. SAP Security Patch Day July 2021: Serious Vulnerabilities in SAP NetWeaver AS Java fixed. Onapsis. 13 de julio del 2021. Recopilado en: https:\/\/onapsis.com\/blog\/sap-security-patch-day-july-2021-serious-vulnerabilities-sap-netweaver-java-fixed<\/li><\/ol>\n\n\n\n

    Informaci\u00f3n de contacto
    CSIRT PANAMA
    Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
    E-Mail: info@cert.pa
    Phone: +507 520-CERT (2378)
    Web: https:\/\/cert.pa
    Twitter: @CSIRTPanama
    Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"

    CSIRT Panam\u00e1 Aviso 2021-07-14 SAP: Actualizaci\u00f3n de seguridad de SAP de julio 2021 Gravedad: AltaFecha de publicaci\u00f3n: Julio 14, 2021\u00daltima revisi\u00f3n: Julio 14, 2021Sitio web: https:\/\/support.sap.com\/Sistemas Afectados:\u2022 SAP Business Client, versi\u00f3n 6.5;\u2022 SAP NetWeaver AS…<\/p>\n","protected":false},"author":4,"featured_media":2578,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72,135],"class_list":["post-2791","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad","tag-sap"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2791","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2791"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2791\/revisions"}],"predecessor-version":[{"id":2793,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2791\/revisions\/2793"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/2578"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2791"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2791"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2791"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}