Actualización de seguridad de SAP de junio de 2021

Fecha de publicación: 09/06/2021

Importancia:
Crítica

Recursos afectados:

  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP NetWeaver AS ABAP y ABAP Platform, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 804;
  • SAP NetWeaver AS for JAVA, versiones 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS for ABAP (RFC Gateway):
    • KRNL32NUC, versiones 7.22 y 7.22EXT;
    • KRNL64NUC, versiones 7.22, 7.22EXT y 7.49;
    • KRNL64UC, versiones 8.04, 7.22, 7.22EXT, 7.49, 7.53 y 7.73;
    • KERNEL, versiones 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
  • SAP NetWeaver ABAP Server y ABAP Platform (Enqueue Server):
    • KRNL32NUC, versiones 7.22 y 7.22EXT;
    • KRNL64NUC, versiones 7.22, 7.22EXT y 7.49;
    • KRNL64UC, versiones 8.04, 7.22, 7.22EXT, 7.49, 7.53, y 7.73;
    • KERNEL, versiones 7.22, 8.04, 7.49, 7.53 y 7.73;
  • SAP NetWeaver ABAP Server y ABAP Platform (Dispatcher):
    • KRNL32NUC, versiones 7.22 y 7.22EXT;
    • KRNL32UC, versiones 7.22 y 7.22EXT;
    • KRNL64NUC, versiones 7.22, 7.22EXT y 7.49;
    • KRNL64UC, versiones 8.04, 7.22, 7.22EXT, 7.49, 7.53 y 7.73;
    • KERNEL, versiones 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
  • SAP Business One, versión 10.0;
  • SAP Manufacturing Execution, versiones 15.1, 1.5.2, 15.3 y 15.4;
  • SAP NetWeaver AS ABAP y ABAP Platform (SRM_RFC_SUBMIT_REPORT), versiones 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 y 755;
  • SAP NetWeaver AS for ABAP (Web Survey), versiones 700, 702, 710, 711, 730, 731, 750, 750, 752, 75A y 75F;
  • SAP NetWeaver AS (Internet Graphics Server – Portwatcher), versiones 7.20, 7.20EXT, 7.53, 7.20_EX2 y 7.81;
  • SAP Enable Now (SAP Workforce Performance Builder – Manager), versiones 10.0 y 1.0;
  • SAP NetWeaver AS ABAP:
    • KRNL32NUC, versiones 7.22 y 7.22EXT;
    • KRNL32UC, versiones 7.22 y 7.22EXT;
    • KRNL64NUC, versiones 7.22, 7.22EXT y 7.49;
    • KRNL64UC, versiones 8.04, 7.22, 7.22EXT, 7.49, 7.53 y 7.73;
    • KERNEL, versiones 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82, 7.83 y 7.84;
  • SAP NetWeaver AS for Java (UserAdmin), versiones 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Application Server ABAP (Aplicaciones basadas en Web Dynpro ABAP):
    • SAP_UI, versiones 750, 752, 753, 754 y 755;
    • SAP_BASIS, versión 702,31;
  • SAP NetWeaver Application Server ABAP (Applications based on SAP GUI for HTML):
    • KRNL64NUC, versión 7.49;
    • KRNL64UC, versiones 7.49 y 7.53;
    • KERNEL, versiones 7.49, 7.53, 7.77, 7.81 y 7.84;
  • SAP Commerce Cloud, versión 100;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP Fiori Apps 2.0 for Travel Management in SAP ERP, versión 608.

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 17 notas de seguridad y 2 actualizaciones de notas anteriores, siendo 2 de severidad crítica, 4 de severidad alta y 13 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidades de XSS (Cross-Site Scripting).
  • 1 vulnerabilidad de autenticación inadecuada.
  • 9 vulnerabilidades de validación de entrada incorrecta.
  • 3 vulnerabilidades de revelación de información.
  • 18 vulnerabilidades de corrupción de memoria.
  • 2 vulnerabilidades de falta de comprobación de autenticación.
  • 4 vulnerabilidades de otro tipo.

Las nuevas notas de seguridad más destacadas se refieren a:

  • SAP NetWeaver AS ABAP y ABAP Platform: se corrige una vulnerabilidad de autenticación inadecuada en la comunicación a través de RFC o HTTP entre servidores, que podría permitir a un atacante abusar de las credenciales robadas, pudiendo establecer una conexión entre un programa externo malicioso y el sistema SAP afectado. Se ha asignado el identificador CVE-2021-27610 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-27602, CVE-2021-27635, CVE-2021-27606, CVE-2021-27629, CVE-2021-27630, CVE-2021-27631, CVE-2021-27632, CVE-2021-27597, CVE-2021-27633, CVE-2021-27634, CVE-2021-27607, CVE-2021-27628, CVE-2021-33662, CVE-2021-27615, CVE-2021-21473, CVE-2021-21490, CVE-2021-27620, CVE-2021-27622, CVE-2021-27623, CVE-2021-27624, CVE-2021-27625, CVE-2021-27626, CVE-2021-27627, CVE-2021-27637, CVE-2021-33663, CVE-2021-27621, CVE-2021-33664, CVE-2021-33665, CVE-2021-33666, CVE-2021-27638, CVE-2021-27639, CVE-2021-27640, CVE-2021-33659, CVE-2021-27642, CVE-2021-33661, CVE-2021-27641, CVE-2021-27643, CVE-2021-33660 y CVE-2021-27605.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, SAP, Vulnerabilidad

Ir a la fuente
Author: INCIBE

Abrir chat
Hola ¿En qué podemos ayudarte?