Actualización de seguridad de SAP de abril de 2021

Fecha de publicación 14/04/2021
Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Client, versión 6.5;
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Master Data Management, versiones 710 y 710.750;
  • SAP Solution Manager, versión 7.20;
  • SAP NetWeaver AS for ABAP, versiones  2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 y 2011_1_752, 2020, 731, 740, 750 y 7.30;
  • SAP S4 HANA (SAP Landscape Transformation) , versiones 101, 102, 103, 104 y 105;
  • SAP Setup, versión 9.0;
  • SAP NetWeaver AS for JAVA (Telnet Commands):
    • ENGINEAPI, versiones 7.30, 7.31, 7.40 y 7.50;
    • ESP_FRAMEWORK, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
    • SERVERCORE, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
    • J2EE-FRMW, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS for JAVA (Applications based on HTMLB for Java):
    • EP-BASIS, versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
    • FRAMEWORK-EXT , versiones 7.30, 7.31, 7.40 y 7.50;
    • FRAMEWORK, versiones 7.10 y 7.11;
  • SAP NetWeaver AS for JAVA (Customer Usage Provisioning Servlet), versiones 7.31, 7.40 y 7.50;
  • SAP Process Integration, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Manufacturing Execution, versiones 15.1, 15.2, 15.3 y 15.4;
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 731, 7.40 y 7.50;
  • SAP Focused RUN, versiones 200 y 300;
  • SAP NetWeaver AS for JAVA (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Fiori Apps 2.0 for Travel Management in SAP ERP, versión 608.
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 5 de severidad alta y 11 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de XSS (Cross Site Scripting).
  • 1 vulnerabilidad de denegación de servicio (DoS).
  • 5 vulnerabilidades de revelación de información.
  • 5 vulnerabilidades de falta de comprobación de autenticación.
  • 1 vulnerabilidad de ejecución remota de código.
  • 5 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • SAP Commerce. Se corrige una vulnerabilidad de ejecución remota de código que podría permitir a un atacante no autorizado explotar las capacidades de scripting del motor de reglas para inyectar código malicioso en las reglas de origen, y permitir así la ejecución remota de código. Se ha asignado el identificador CVE-2021-27602 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-21481, CVE-2021-21482, CVE-2021-21483, CVE-2020-26832, CVE-2021-27608, CVE-2021-21485, CVE-2021-27598, CVE-2021-27603, CVE-2021-27599, CVE-2021-27604, CVE-2021-27600, CVE-2021-27601, CVE-2021-21491, CVE-2021-27609, CVE-2021-21492 y CVE-2021-27605.

Encuesta valoración

Listado de referencias
SAP Security Patch Day – April 2021
SAP Security Patch Day April 2021: Serious Vulnerability Patched in SAP Commerce
Etiquetas