[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2021\/11\/Firma-1.png” alt=”cloud-public” title_text=”Firma-1″ admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}” content__hover_enabled=”off|hover”]<\/p>\n
C\u00f3mo cada mes, SAP publica el security patch day, publicaci\u00f3n en la que resume las \u00faltimas novedades relativas a la seguridad de sus productos, que en este art\u00edculo analizaremos y explicaremos de manera sencilla.<\/p>\n
En cuanto al an\u00e1lisis cuantitativo de las notas publicadas en este security patch day,\u00a0se han liberado un total de 7 notas de seguridad<\/strong>, de las cuales\u00a03 son de prioridad alta<\/strong>, con una puntuaci\u00f3n CVSS superior a 7. De las cuales 2 son actualizaciones de notas de seguridad ya publicada: la nota 3068582 que se actualiza para adjuntar un nuevo manual de implementaci\u00f3n de pasos manuales, y la nota 2971638 se actualiza para incluir nuevas indicaciones en la soluci\u00f3n propuesta.<\/p>\n A continuaci\u00f3n, analizaremos estas 3 notas:<\/strong><\/p>\n [<\/strong>CVE-2021-40501<\/a>] Missing Authorization check in ABAP Platform Kernel<\/strong><\/p>\n El\u00a0kernel ABAP de SAP<\/strong>\u00a0no realiza los chequeos de autorizaci\u00f3n necesarios para un usuario business que est\u00e9 autenticado, pudiendo resultar en una escalada de privilegios. Esto permitir\u00eda al atacante ver o modificar datos en el sistema vulnerable.<\/p>\n Para resolver esta vulnerabilidad podemos actualizar el fichero dw.sar del kernel, o c\u00f3mo recomienda SAP aplicar un SP Stack Kernel actualizado en nuestro sistema. Por\u00a0el alto riesgo<\/strong>\u00a0que implica esta nota tiene una\u00a0puntuaci\u00f3n CVSS de 9.6<\/strong>\u00a0y SAP la ha clasificado c\u00f3mo Hot New.<\/p>\n Esta vulnerabilidad afecta a las siguientes versiones del kernel ABAP: 7.77, 7.81, 7.85, 7.86<\/p>\n [<\/strong>CVE-2021-40502<\/a>]<\/strong>\u00a0Missing Authorization check in SAP Commerce<\/strong><\/p>\n SAP Commerce no realiza los chequeos de autorizaci\u00f3n necesarios para un usuario autenticado, pudiendo resultar en una escalada de privilegios. Un atacante autenticado podr\u00eda acceder y editar datos de unidades B2B a las que no pertenece.<\/p>\n Para aplicar la soluci\u00f3n a esta vulnerabilidad de debe aplicar el \u00faltimo parche de SAP Commerce y realizar los pasos manuales descritos en la nota 3110328.<\/p>\n Afecta a las versiones 2105.3, 2011.13, 2005.18, 1905.34 de SAP Commerce.<\/strong><\/p>\n [<\/strong>CVE-2020-6369<\/a>] [Update] Hard-coded Credentials in CA Introscope Enterprise Manager (Affected products: SAP Solution Manager and SAP Focused<\/strong><\/p>\n Actualizaci\u00f3n la nota 2971638 que resuelve una vulnerabilidad de CA Introscope en las versiones 10.5 o 10.7 y anteriores. Que en el caso de que las passwords de admin y guest no hayan sido cambiadas respecto a sus valores por defecto, un usuario autenticado podr\u00eda saltarse los chequeos de autorizaci\u00f3n e impactar en la confidencialidad del servicio.<\/p>\n La nota 2971638 ha sido actualizada con nuevas indicaciones para resolver la vulnerabilidad.<\/p>\n En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:<\/strong><\/p>\n En lo que llevamos de a\u00f1o el equipo de seguridad de SAP lleva liberadas 162 notas de seguridad de las cuales 36 tienen una puntuaci\u00f3n CVSS por encima de 9 y 64 por encima de 7.<\/p>\n El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:<\/strong><\/p>\n La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar m\u00faltiples vulnerabilidades.<\/strong><\/p>\n Nos despedimos recomendando pasarse por el apartado de\u00a0<\/strong>security notes<\/strong>\u00a0del Launchpad de SAP y analizar las notas liberadas desde la \u00faltima actualizaci\u00f3n de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.<\/strong><\/p>\n Fuentes:<\/p>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2021\/11\/image001-1.png\")
<\/div>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2021\/11\/image003.png\")
<\/div>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2021\/11\/image005.png\")
<\/div>\n