Actualización de seguridad de SAP de agosto de 2021

Fecha de publicación: 11/08/2021

Importancia:
Crítica

Recursos afectados:

• SAP Business One, versión 10.0;
• SAP BusinessObjects Business Intelligence Platform (Crystal Report, SAPUI5), versiones 420 y 430;
• SAP S/4HANA, versiones SAPSCORE 125, S4CORE 102, 102, 103, 104 y 105;
• SAP NetWeaver Enterprise Portal (Application Extensions), versiones 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver Development Infrastructure (Component Build Service), versiones 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver Development Infrastructure (Notification Service), versiones 7.31, 7.40 y 7.50;
• SAP NetWeaver AS ABAP and ABAP Platform (SRM_RFC_SUBMIT_REPORT), versiones 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 y 755  ;
• SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
• SAP Fiori Client Native Mobile para Android, versión 3.2;
• SAP Cloud Connector, versión 2.0;
• DMIS Mobile Plug-In, versiones DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752 y 2020.

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual correspondiente al mes de agosto de 2021.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad y 1 actualización de notas anteriores, siendo 3 de severidad crítica, 5 de severidad alta y 7 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

• 4 vulnerabilidades de XSS (Cross-Site Scripting);
• 2 vulnerabilidades de SSRF (Server-Side Request Forgery);
• 3 vulnerabilidades de falta de comprobación de autenticación;
• 2 vulnerabilidades de inyección de código;
• 1 vulnerabilidad de inyección SQL;
• 1 vulnerabilidad de subida no restringida de archivo;
• 1 vulnerabilidad de redirección URL;
• 3 vulnerabilidades de otro tipo.

Las nuevas notas de seguridad más destacadas se refieren a:

• SAP Business One: se ha corregido una vulnerabilidad de subida no restringida de archivos que podría permitir a un atacante cargar archivos, incluidos archivos de script, en el servidor. Se le ha asignado el identificador CVE-2021-33698 a esta vulnerabilidad.
• SAP NetWeaver (SAP NWDI): se ha corregido una vulnerabilidad de SSRF que podría permitir a un atacante realizar ataques proxy mediante el envío de consultas falsificadas. Se le ha asignado el identificador CVE-2021-33690 a esta vulnerabilidad.
• Near Zero Downtime (NZDT): Se corrige una vulnerabilidad de inyección SQL. Se le ha asignado el identificador CVE-2021-33701 a esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33702, CVE-2021-33703, CVE-2021-33705, CVE-2021-33699, CVE-2021-33700, CVE-2021-33691, CVE-2021-33695, CVE-2021-33704, CVE-2021-21473, CVE-2021-33707, CVE-2021-33696 y CVE-2021-33697.

Etiquetas:
Actualización, SAP, Vulnerabilidad