Actualización de seguridad de SAP de abril de 2021

Múltiples vulnerabilidades en productos Juniper

Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 5 de severidad alta y 11 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

– 2 vulnerabilidades de XSS (Cross Site Scripting).
– 1 vulnerabilidad de denegación de servicio (DoS).
– 5 vulnerabilidades de revelación de información.
– 5 vulnerabilidades de falta de comprobación de autenticación.
– 1 vulnerabilidad de ejecución remota de código.
– 5 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

– SAP Commerce. Se corrige una vulnerabilidad de ejecución remota de código que podría permitir a un atacante no autorizado explotar las capacidades de scripting del motor de reglas para inyectar código malicioso en las reglas de origen, y permitir así la ejecución remota de código. Se ha asignado el identificador CVE-2021-27602 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-21481, CVE-2021-21482, CVE-2021-21483, CVE-2020-26832, CVE-2021-27608, CVE-2021-21485, CVE-2021-27598, CVE-2021-27603, CVE-2021-27599, CVE-2021-27604, CVE-2021-27600, CVE-2021-27601, CVE-2021-21491, CVE-2021-27609, CVE-2021-21492 y CVE-2021-27605.

Recursos afectados

  • SAP Business Client, versión 6.5
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011
  • SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50
  • SAP NetWeaver Master Data Management, versiones 710 y 710.750
  • SAP Solution Manager, versión 7.20
  • SAP NetWeaver AS for ABAP, versiones 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 y 2011_1_752, 2020, 731, 740, 750 y 7.30
  • SAP S4 HANA (SAP Landscape Transformation) , versiones 101, 102, 103, 104 y 105
  • SAP Setup, versión 9.0
  • SAP NetWeaver AS for JAVA (Telnet Commands):
    – ENGINEAPI, versiones 7.30, 7.31, 7.40 y 7.50
    – ESP_FRAMEWORK, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50
    – SERVERCORE, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50
    – J2EE-FRMW, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50
  • SAP NetWeaver AS for JAVA (Applications based on HTMLB for Java):
    – EP-BASIS, versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50
    – FRAMEWORK-EXT , versiones 7.30, 7.31, 7.40 y 7.50
    – FRAMEWORK, versiones 7.10 y 7.11
  • SAP NetWeaver AS for JAVA (Customer Usage Provisioning Servlet), versiones 7.31, 7.40 y 7.50
  • SAP Process Integration, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50
  • SAP Manufacturing Execution, versiones 15.1, 15.2, 15.3 y 15.4
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 731, 7.40 y 7.50
  • SAP Focused RUN, versiones 200 y 300
  • SAP NetWeaver AS for JAVA (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50
  • SAP Fiori Apps 2.0 for Travel Management in SAP ERP, versión 608

Solución

Para solucionar estos fallos de seguridad, basta con visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Referencias

SAP Parche de Seguridad
SAP Wiki

Artículos relacionados

Múltiples vulnerabilidades en productos Juniper
Múltiples vulnerabilidades en productos Juniper
Múltiples vulnerabilidades en productos Juniper

Etiqueta Seresco