ActualizaciĆ³n de seguridad de SAP de julio de 2021

Fecha de publicaciĆ³n: 14/07/2021

Importancia:
CrĆ­tica

Recursos afectados:

  • SAP Business Client, versiĆ³n 6.5;
  • SAP NetWeaver AS ABAP y ABAP Platform, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 804;
  • SAP NetWeaver Guided Procedures (Administration Workset), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS for Java (Http Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP CRM, versiones 700, 701, 702, 712, 713 y 714;
  • SAP Process Integration (Enterprise Service Repository JAVA Mappings), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS ABAP y ABAP Platform, versiones 700, 702, 730, 731, 804, 740, 750, 784 y DEV;
  • SAP NetWeaver AS ABAP (Reconciliation Framework), versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 75A, 75B, 75B, 75C, 75D, 75E y 75F;
  • SAP Lumira Server, versiĆ³n 2.4;
  • SAP Web Dispatcher y Internet Communication Manager:
    • KRNL32NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
    • KRNL32UC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
    • KRNL64NUC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
    • KRNL64UC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53 y 7.73;
    • WEBDISP, versiones 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
    • KERNEL, versiones 7.21, 7.22, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
  • SAP NetWeaver AS ABAP y ABAP Platform:
    • KRNL32NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
    • KRNL32UC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
    • KRNL64NUC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
    • KRNL64UC, versiones 8.04, 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49 y 7.53;
    • KERNEL, versiones 8.04, 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.77, 7.81 y 7.84.
  • SAP NetWeaver AS JAVA (Enterprise Portal), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Business Objects Web Intelligence (BI Launchpad), versiones 420 y 430;
  • SAP 3D Visual Enterprise Viewer, versiĆ³n 9.0;
  • SAP NetWeaver AS JAVA (Administrator applications), versiĆ³n 7.50.

DescripciĆ³n:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

SoluciĆ³n:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, segĆŗn indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 12 notas de seguridad y 3 actualizaciones de notas anteriores, siendo 2 de severidad crĆ­tica, 2 de severidad alta, 10 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 1 vulnerabilidad de inyecciĆ³n de cĆ³digo;
  • 1vulnerabilidad de XSS (Cross-Site Scripting);
  • 1 vulnerabilidad de denegaciĆ³n de servicio (DoS);
  • 1 vulnerabilidad de autenticaciĆ³n inadecuada;
  • 3 vulnerabilidades de revelaciĆ³n de informaciĆ³n;
  • 2 vulnerabilidades de falta de comprobaciĆ³n de autenticaciĆ³n;
  • 7 vulnerabilidades de otro tipo.

Las nuevas notas de seguridad mƔs destacadas se refieren a:

  • SAP NetWeaver Guided Procedures: se corrige una vulnerabilidad de falta de autenticaciĆ³n que podrĆ­a permitir una lectura, modificaciĆ³n o eliminaciĆ³n de datos por parte de un usuario no autorizado. Se ha asignado el identificador CVE-2021-33671 para esta vulnerabilidad.
  • SAP NetWeaver AS for Java: se corrige una vulnerabilidad de validaciĆ³n inadecuada de las solicitudes HTTP al almacenar datos de monitorizaciĆ³n, lo que podrĆ­a permitir a un atacante establecer una condiciĆ³n de denegaciĆ³n de servicio mediante la manipulaciĆ³n de las solicitudes HTTP. Se ha asignado el identificador CVE-2021-33670 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-27610, CVE-2021-33676, CVE-2021-27604, CVE-2021-33677, CVE-2021-33678, CVE-2021-33682, CVE-2021-33683, CVE-2021-33684, CVE-2021-33687, CVE-2021-33667, CVE-2021-33681, CVE-2021-33680 y CVE-2021-33689.

Encuesta valoraciĆ³n

Etiquetas:
ActualizaciĆ³n, Java, SAP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.