Actualización de seguridad de SAP de mayo de 2021

Fecha de publicación 12/05/2021
Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Client, versión 6.5;
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP Business Warehouse, versiones 700, 701, 702, 711, 730, 731, 740, 750 y 782;
  • SAP BW4HANA, versiones 100 y 200;
  • SAP NetWeaver AS ABAP, versiones 700, 701, 702, 730 y 731;
  • SAP Business One para SAP HANA (Cookbooks), versiones 0.1.6, 0.1.7 y 0.1.9;
  • SAP Business One (Cookbooks), versión 0.1.9;
  • SAP Process Integration (Integration Builder Framework), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Application Server Java (Applications basadas en Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Focused RUN, versiones 200 y 300;
  • SAP GUI for Windows, versiones 7.60 y 7.70.
Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, otras 3 de severidad alta, 4 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 3 vulnerabilidades de inyección de código;
  • 3 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de falta de comprobación de autenticación;
  • 1 vulnerabilidad de falta de validación XML;
  • 1 vulnerabilidad de ejecución remota de código;
  • 4 vulnerabilidades de otro tipo.

Las nuevas notas de seguridad más destacadas se refieren a:

  • SAP NetWeaver AS ABAP: se corrige una vulnerabilidad de inyección de código, que podría permitir a un atacante, con acceso local al sistema SAP, leer y sobrescribir datos, así como iniciar un ataque de denegación de servicio. Se ha asignado el identificador CVE-2021-27611 para esta vulnerabilidad de severidad alta.
  • SAP Business One (B1) en MS SQL Server y para SAP HANA: se corrigen múltiples vulnerabilidades, que podrían permitir a un atacante divulgar información o inyectar código malicioso. Se han asignado los identificadores CVE-2021-27616 y CVE-2021-27613 para estas vulnerabilidades de severidad alta.

Encuesta valoración

Listado de referencias
SAP Security Patch Day – May 2021
SAP Security Patch Day May 2021: Calm Patch Day with SAP Business One in Focus
Etiquetas