Descripción
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 7 actualizaciones de notas anteriores, siendo 5 de las nuevas notas de severidad crítica, 1 alta, 10 medias y 1 baja.
Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:
- 2 vulnerabilidades de inyección de código
- 1 vulnerabilidad de denegación de servicio
- 3 vulnerabilidades de divulgación de información
- 4 vulnerabilidades de falta de comprobación de autorización
- 16 vulnerabilidades de ausencia de validación de entrada
- 1 vulnerabilidad de inyección SQL
- 6 vulnerabilidades de otro tipo
Las notas de seguridad más destacadas se refieren a:
- Una validación de entrada insuficiente en SAP Business Warehouse y en SAP BW4HANA, podría permitir a un atacante, con pocos privilegios, inyectar código malicioso que se almacena de forma persistente como un informe. Este informe podría ser ejecutado posteriormente dando lugar a situaciones con un alto impacto negativo en la confidencialidad, la integridad y la disponibilidad del sistema afectado (y tal vez también de los sistemas conectados). Se ha asignado el identificador CVE-2021-21466 para esta vulnerabilidad.
- Una sanitización inadecuada de los comandos SQL en la interfaz de la base de datos de SAP BW, podría permitir a un atacante ejecutar comandos SQL arbitrarios en la base de datos, lo que podría llevar a un compromiso total del sistema afectado. Se ha asignado el identificador CVE-2021-21465 para esta vulnerabilidad.
- Para el resto de vulnerabilidades se han asignado los identificadores:
CVE-2020-26838, CVE-2020-26820, CVE-2021-21446, CVE-2020-6307, CVE-2020-6224, CVE-2021-21445, CVE-2021-21447, CVE-2020-6256, CVE-2020-26816, CVE-2021-21448, CVE-2021-21469, CVE-2021-21449, CVE-2021-21457, CVE-2021-21458, CVE-2021-21459, CVE-2021-21450, CVE-2021-21451, CVE-2021-21452, CVE-2021-21453, CVE-2021-21454, CVE-2021-21455, CVE-2021-21456, CVE-2021-21460, CVE-2021-21461, CVE-2021-21462, CVE-2021-21463, CVE-2021-21464, CVE-2021-21467 y CVE-2021-21470.
Recursos afectados
- SAP Business Client, versión 6.5
- SAP Business Warehouse, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 782
- SAP BW4HANA, versiones 100 y 200
- SAP NetWeaver AS JAVA, versiones 7.20, 7.30, 7.31, 7.40 y 7.50
- Automated Note Search Tool (SAP Basis), versiones 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 y 7.54
- SAP NetWeaver AS Java (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50
- SAP Commerce Cloud, versiones 1808, 1811, 1905, 2005 y 2011
- SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface), versiones 410 y 420
- SAP Master Data Governance, versiones 748, 749, 750, 751, 752, 800, 801, 802, 803 y 804
- SAP NetWeaver AS JAVA (Key Storage Service), versiones 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 y 7.50
- SAP GUI FOR WINDOWS, versión 7.60
- SAP NetWeaver Master Data Management, versiones 7.10, 7.10.750 y 710
- SAP 3D Visual Enterprise Viewer, versión 9.0
- SAP Banking Services (Generic Market Data), versiones 400, 450 y 500
- SAP EPM ADD-IN, versiones 2.8 y 1010
Solución
- Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
- Para la vulnerabilidad CVE-2021-21465, SAP ha resuelto el problema desactivando el módulo de funciones, por lo que afectará a cualquier aplicación que haga una llamada a este módulo.
