Actualización de seguridad de SAP de diciembre de 2021

Fecha de publicación: 15/12/2021

Importancia:
Crítica

Recursos afectados:

• SAP Business Client, versión 6.5;
• SAP Commerce, localization for China, versión 2001;
• SAP ABAP Server & ABAP Platform (Translation Tools), versiones 701, 740,750,751,752,753,754,755,756 y 804;
• SAP S/4HANA, versiones 1511, 1610, 1709, 1809, 1909, 2020 y 2021;
• SAP LT Replication Server, versiones 2.0 y 3.0;
• SAP LTRS for S/4HANA, versión 1.0;
• SAP Test Data Migration Server, versión 4.0;
• SAP Landscape Transformation, versión 2.0;
• SAP Commerce, versiones 1905, 2005, 2105 y 2011;
• SAP Knowledge Warehouse, versiones 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver AS ABAP, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 756;
• SAP SuccessFactors Mobile Application (para Android), versiones <2108;
• SAF-T Framework, versiones SAP_FIN 617, 618, 720, 730, SAP_APPL 600, 602, 603, 604, 605, 606, S4CORE 102, 103, 104 y 105;
• SAP Commerce, versiones 1905, 2005, 2105 y 2011;
• SAP Web Dispatcher and Internet Communication Manager, versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82, 7.83, KERNEL 7.21, 7.22, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
• SAP 3D Visual Enterprise Viewer, versión 9;
• SAP UI, versiones 7.5, 7.51, 7.52, 7.53 y 7.54;
• SAP UI 700, versiones 2.0;
• SAP BusinessObjects Business Intelligence Platform, versión 420;
• SAP GRC Access Control, versiones V1100_700, V1100_731 y V1200_750.

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución:

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 4 de severidad crítica, 6 de severidad alta, 4 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

• 1 vulnerabilidad de ejecución de código;
• 3 vulnerabilidades de inyección de código;
• 2 vulnerabilidades de inyección SQL;
• 1 vulnerabilidad de Cross-Site Scripting (XSS);
• 2 vulnerabilidades de denegación de servicio;
• 1 vulnerabilidad de directory traversal;
• 3 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

• Una vulnerabilidad de inyección de código en un informe de extracción de texto de las herramientas de traducción de SAP ABAP Server & ABAP Platform. La vulnerabilidad permite a un atacante con pocos privilegios ejecutar comandos arbitrarios en segundo plano. Se ha asignado el identificador CVE-2021-44231 para esta vulnerabilidad;
• El paquete de localización para China utiliza la biblioteca de código abierto XStream para serializar objetos a XML y viceversa, que podría provocar la ejecución de código en SAP Commerce. Se han asignado los identificadores: CVE-2021-21341, CVE-2021-21342, CVE-2021-21349, CVE-2021-21343, CVE-2021-21344, CVE-2021-21346, CVE-2021-21347, CVE-2021-21350, CVE-2021-21351, CVE-2021-21345 y CVE-2021-21348 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33683, CVE-2021-42068, CVE-2021-42070, CVE-2021-42069, CVE-2021-42069, CVE-2019-0388, CVE-2021-42061 y CVE-2021-44233.

Etiquetas:
Actualización, SAP, Vulnerabilidad