Actualización de seguridad de SAP de enero de 2021

Recursos afectados:

  • SAP Business Client, versión 6.5;
  • SAP Business Warehouse, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 782;
  • SAP BW4HANA, versiones 100 y 200;
  • SAP NetWeaver AS JAVA, versiones 7.20, 7.30, 7.31, 7.40 y 7.50;
  • Automated Note Search Tool (SAP Basis), versiones 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 y 7.54;
  • SAP NetWeaver AS Java (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Commerce Cloud, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface), versiones 410 y 420;
  • SAP Master Data Governance, versiones 748, 749, 750, 751, 752, 800, 801, 802, 803 y 804;
  • SAP NetWeaver AS JAVA (Key Storage Service), versiones 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 y 7.50;
  • SAP GUI FOR WINDOWS, versión 7.60;
  • SAP NetWeaver Master Data Management, versiones 7.10, 7.10.750 y 710;
  • SAP 3D Visual Enterprise Viewer, versión 9.0;
  • SAP Banking Services (Generic Market Data), versiones 400, 450 y 500;
  • SAP EPM ADD-IN, versiones 2.8 y 1010;
Descripción:

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 7 actualizaciones de notas anteriores, siendo 5 de las nuevas notas de severidad crítica, 1 alta, 10 medias y 1 baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de inyección de código,
  • 1 vulnerabilidad de denegación de servicio,
  • 3 vulnerabilidades de divulgación de información,
  • 4 vulnerabilidades de falta de comprobación de autorización,
  • 16 vulnerabilidades de ausencia de validación de entrada,
  • 1 vulnerabilidad de inyección SQL,
  • 6 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • Una validación de entrada insuficiente en SAP Business Warehouse y en SAP BW4HANA, podría permitir a un atacante, con pocos privilegios, inyectar código malicioso que se almacena de forma persistente como un informe.
  • Una sanitización inadecuada de los comandos SQL en la interfaz de la base de datos de SAP BW, podría permitir a un atacante ejecutar comandos SQL arbitrarios en la base de datos, lo que podría llevar a un compromiso total del sistema afectado.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Para la vulnerabilidad CVE-2021-21465, SAP ha resuelto el problema desactivando el módulo de funciones, por lo que afectará a cualquier aplicación que haga una llamada a este módulo.

Agregar Comentario
0 Respuesta(s)

Tu Respuesta

Al publicar tu respuesta, confirmas estar de acuerdo con las políticas de privacidad y términos de servicio.