Inicio / Protege tu empresa / Avisos Seguridad / Actualizaciones de seguridad de mayo en productos SAP

Actualizaciones de seguridad de mayo en productos SAP

Fecha de publicación: 
12/05/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business Client, versión 6.5;
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP Business Warehouse, versiones 700, 701, 702, 711, 730, 731, 740, 750 y 782;
  • SAP BW4HANA, versiones 100 y 200;
  • SAP NetWeaver AS ABAP, versiones 700, 701, 702, 730 y 731;
  • SAP Business One, versión para
  • SAP HANA (Cookbooks) y versiones 0.1.6, 0.1.7 y 0.1.19;
  • SAP Business One (Cookbooks), versión 0.1.9;
  • SAP Commerce (Backoffice Search), versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP Process Integration (Integration Builder Framework), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 731, 7.40 y 7.50;
  • SAP Focused RUN, versiones 200 y 300;
  • SAP GUI para Windows, versiones 7.60 y 7.70.
Solución: 

Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE: 017.

Detalle: 

Logo SAP

Entre las vulnerabilidades publicadas en el boletín de seguridad de este mes, destacan las siguientes, consideradas de carácter crítico:

  • Vulnerabilidad en el producto SAP Commerce. La aplicación Backoffice permite a ciertos usuarios autorizados crear reglas de origen que se traducen en reglas drools. Un atacante con esta autorización podría inyectar código malicioso en las reglas de la fuente y realizar una ejecución remota de código, permitiéndole comprometer la confidencialidad, integridad y disponibilidad de la aplicación.
  • Vulnerabilidad en el producto SAP Business Warehouse, que podría permitir a un atacante con pocos privilegios inyectar código, utilizando un módulo de función habilitado de forma remota a través de la red. Por medio de este módulo, un atacante puede crear un informe ABAP malicioso, que puede ser utilizado para obtener acceso a datos sensibles. Además, podría inyectar sentencias UPDATE maliciosas, las cuales pueden tener impacto en el sistema operativo, interrumpiendo la funcionalidad del sistema SAP y originando una condición de denegación de servicio.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017