Actualización de seguridad de SAP de marzo de 2021

Fecha de publicación 10/03/2021
Importancia
5 - Crítica
Recursos Afectados
  • SAP Solution Manager (User Experience Monitoring), versión 7.2;
  • SAP Business Client, versión 6.5;
  • SAP Manufacturing Integration e Intelligence, versiones 15.1, 15.2, 15.3 y 15.4;
  • SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
  • SAP HANA, versión 2.0;
  • SAP Enterprise Financial Services (Bank Customer Accounts), versiones 101, 102, 103, 104, 105, 600, 603, 604, 605, 606, 616, 617, 618 y 800;
  • SAP NetWeaver Knowledge Management, versiones 7.01, 7.02, 7.30,7.31, 7.40 y 7.50;
  • SAP Payment Engine, versión 500;
  • SAP BusinessObjects Business Intelligence Platform (Web Services), versiones 410, 420 y 430;
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 731, 7.40 y 7.50;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP ERP, versiones 600, 602, 603, 604, 605, 606, 616, 617 y 618;
  • SAP S/4 HANA, versiones 100, 101, 102, 103 y 104;
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 9 notas de seguridad y 4 actualizaciones de notas anteriores, siendo 4 de severidad crítica, 1 alta y 8 medias.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de falta de comprobación de autenticación,
  • 1 vulnerabilidad de inyección de código,
  • 10 vulnerabilidades de validación incorrecta de entrada,
  • 4 vulnerabilidades de falta de comprobación de autorización,
  • 1 vulnerabilidad de SSRF (Server Side Request Forgery),
  • 4 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • SAP Manufacturing Intelligence and Integrations (SAP MII): se corrige una vulnerabilidad de inyección de código muy crítica en la que un atacante puede interceptar una solicitud al servidor, inyectar código JSP malicioso en la solicitud y reenviarlo al servidor. Se ha asignado el identificador CVE-2021-21480 para esta vulnerabilidad.
  • SAP NetWeaver AS JAVA (MigrationService): se corrige la verificación de autorización que podría permitir a un atacante no autorizado obtener privilegios administrativos. Esto podría resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2021-21481 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
SAP Security Patch Day – March 2021
SAP Security Patch Day March 2021: Critical Patch Released for SAP MII and SAP NetWeaver AS Java
Etiquetas