Descripción
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual. En su comunicado mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, otras 3 de severidad alta, 4 de severidad media y 1 de severidad baja.
Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:
- 3 vulnerabilidades de inyección de código
- 3 vulnerabilidades de divulgación de información
- 1 vulnerabilidad de falta de comprobación de autenticación
- 1 vulnerabilidad de falta de validación XML
- 1 vulnerabilidad de ejecución remota de código
- 4 vulnerabilidades de otro tipo
Las nuevas notas de seguridad más destacadas se refieren a:
- SAP NetWeaver AS ABAP: se corrige una vulnerabilidad de inyección de código, que podría permitir a un atacante, con acceso local al sistema SAP, leer y sobreescribir datos, así como iniciar un ataque de denegación de servicio. Se ha asignado el identificador CVE-2021-27611 para esta vulnerabilidad de severidad alta.
- SAP Business One (B1) en MS SQL Server y para SAP HANA: se corrigen múltiples vulnerabilidades, que podrían permitir a un atacante divulgar información o inyectar código malicioso. Se han asignado los identificadores CVE-2021-27616 y CVE-2021-27613 para estas vulnerabilidades de severidad alta.
Recursos afectados
Los recursos y versiones afectados por estos fallos de seguridad son los siguientes:
- SAP Business Client, versión 6.5
- SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011
- SAP Business Warehouse, versiones 700, 701, 702, 711, 730, 731, 740, 750 y 782
- SAP BW4HANA, versiones 100 y 200
- SAP NetWeaver AS ABAP, versiones 700, 701, 702, 730 y 731
- SAP Business One para SAP HANA (Cookbooks), versiones 0.1.6, 0.1.7 y 0.1.9
- SAP Business One (Cookbooks), versión 0.1.9
- SAP Process Integration (Integration Builder Framework), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50
- SAP NetWeaver Application Server Java (Applications basadas en Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50
- SAP Focused RUN, versiones 200 y 300
- SAP GUI for Windows, versiones 7.60 y 7.70
Solución
Para solucionar estos agujeros de seguridad, visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.