{"id":8640,"date":"2021-05-18T08:00:31","date_gmt":"2021-05-18T06:00:31","guid":{"rendered":"http:\/\/192.168.20.3\/?p=8640"},"modified":"2024-12-11T10:20:08","modified_gmt":"2024-12-11T09:20:08","slug":"sap-security-patch-day-mayo-2021","status":"publish","type":"post","link":"https:\/\/orekait.com\/es\/sap-security-patch-day-mayo-2021\/","title":{"rendered":"SAP Security Patch Day
Mayo 2021<\/span>"},"content":{"rendered":"

[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2021\/05\/sap-security-patch-day-mayo-2021.png” alt=”cloud-public” title_text=”sap-security-patch-day-mayo-2021″ admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|hover” sticky_enabled=”0″]<\/p>\n

Este\u00a0\u201cSAP Security Patch Day<\/a>\u201d\u00a0<\/strong>de mayo ha sido bastante m\u00e1s tranquilo con menos notas liberadas de lo que nos tienen acostumbrados. Eso s\u00ed, en este mes, podemos ver las primeras notas liberadas que afectan a sistemas SAP Business One con base de datos HANA que comentaremos durante el art\u00edculo.<\/p>\n

En cuanto a n\u00fameros, se han liberado un total de 11 notas de seguridad de las cuales 6 son de prioridad alta con una puntuaci\u00f3n CVSS por encima de 7. De las 11 notas, 5 son actualizaciones de vulnerabilidades descubiertas en meses anteriores, por lo que habr\u00e1 que revisar las notas de nuevo para ejecutar las instrucciones en caso de que aplique a nuestros sistemas. De las 6 notas de prioridad alta 3 son encontradas en el \u00faltimo mes y por tanto las m\u00e1s importantes para chequear si afectan o no a nuestros sistemas.<\/p>\n

A continuaci\u00f3n, analizaremos estas 6 notas:<\/p>\n

[<\/strong>CVE-2021-27611]\u00a0Code Injection vulnerability in SAP NetWeaver\u00a0AS\u00a0ABAP<\/strong><\/span><\/p>\n

Con un 8.2 de puntuaci\u00f3n CVSS, la brecha [CVE-2021-27611] afecta a los sistemas NetWeaver en sus versiones 700,701,702,730,731 y permite a un atacante con autorizaciones para ejecutar programas, inyectar c\u00f3digo malicioso en el sistema pudiendo modificar datos, sobrescribir y llegar a generar una denegaci\u00f3n de servicios (DoS).<\/p>\n

El error est\u00e1 en la ejecuci\u00f3n del programa RDDPUTJR, el cual es eliminado implementando la nota\u00a03046610<\/strong><\/a>\u00a0o actualizando el componente SAP BASIS al SP m\u00e1s actual dentro de la versi\u00f3n en la que este el componente.<\/p>\n

Si no se quieren realizar estas modificaciones por alguna raz\u00f3n, ser\u00eda conveniente, por lo menos, inhabilitar la ejecuci\u00f3n de ese report desde las transacciones SA38 o SE38 mediante autorizaciones y roles.<\/p>\n

Las siguientes dos vulnerabilidades vienen separadas, aunque aplican al mismo sistema SAP Business One sobre base de datos HANA y contienen\u00a0la misma puntuaci\u00f3n\u00a0CVSS de 7.8.<\/p>\n

[<\/strong>CVE-2021-27616]\u00a0Multiple vulnerabilities in SAP Business One, version for SAP HANA (Business-One-Hana-Chef-Cookbook)<\/span><\/strong><\/p>\n

[<\/strong>CVE-2021-27613]\u00a0Information Disclosure in SAP Business One (Chef business-one-cookbook)<\/span><\/strong><\/p>\n

Estas vulnerabilidades, est\u00e1n compuestas por dos tipos de vulnerabilidades como son la divulgaci\u00f3n de informaci\u00f3n e inyecci\u00f3n de c\u00f3digo malicioso. Aplican a cierto componente utilizado para instalar SBO, que, en ciertas condiciones, permite a un atacante acceder a carpetas temporales con datos de n\u00f3mina o datos de backups que deber\u00edan de estar restringida.<\/p>\n

La soluci\u00f3n pasa por seguir los pasos descritos en la nota\u00a03049755<\/a><\/strong>\u00a0y la\u00a03049661<\/strong><\/a>.<\/p>\n

Adem\u00e1s de las 3 vulnerabilidades comentadas, hay otras tres de prioridad alta que explicamos en art\u00edculos anteriores y se han liberado actualizaciones de la nota que deber\u00edan de ser examinadas en caso de que apliquen a los sistemas de nuestra empresa.<\/p>\n

Security updates for the browser control Google Chromium delivered with SAP Business Client \u2013 Articulo\u00a0<\/span><\/strong>Enero<\/span><\/a>\u00a02021<\/span><\/strong><\/p>\n

Remote Code Execution vulnerability in Source Rules of SAP Commerce \u2013 Articulo\u00a0<\/span><\/strong>Abril<\/span><\/a>\u00a02021<\/span><\/strong><\/p>\n

Code Injection in SAP Business Warehouse and SAP\u00a0BW\/4HANA \u2013 Articulo\u00a0<\/span><\/strong>Enero<\/span><\/a>\u00a02021<\/span><\/strong><\/p>\n

En el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:<\/p>\n

\"\"<\/div>\n

En lo que llevamos de a\u00f1o el equipo de seguridad de SAP lleva liberadas 73 notas de seguridad de las cuales 18 tienes una puntuaci\u00f3n CVSS por encima de 9 y 30 por encima de 7.<\/p>\n

\n\n\n\n\n\n\n\n\n\n
\u00a0<\/td>\nLOW<\/td>\nMEDIUM<\/td>\nHIGH<\/td>\nHOT NEWS<\/td>\nTOTAL<\/td>\n<\/tr>\n
Enero<\/td>\n1<\/td>\n10<\/td>\n1<\/td>\n5<\/td>\n17<\/strong><\/td>\n<\/tr>\n
Febrero<\/td>\n\u00a0<\/td>\n8<\/td>\n2<\/td>\n3<\/td>\n13<\/strong><\/td>\n<\/tr>\n
Marzo<\/td>\n\u00a0<\/td>\n8<\/td>\n1<\/td>\n4<\/td>\n13<\/strong><\/td>\n<\/tr>\n
Abril<\/td>\n\u00a0<\/td>\n11<\/td>\n5<\/td>\n3<\/td>\n19<\/strong><\/td>\n<\/tr>\n
Mayo<\/td>\n1<\/td>\n4<\/td>\n3<\/td>\n3<\/td>\n11<\/strong><\/td>\n<\/tr>\n
TOTAL<\/td>\n2<\/strong><\/td>\n41<\/strong><\/td>\n12<\/strong><\/td>\n18<\/strong><\/td>\n73<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente.<\/p>\n

\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
\u00a0<\/td>\nEnero<\/td>\nFebrero<\/td>\nMarzo<\/td>\nAbril<\/td>\nMayo<\/td>\nTOTAL<\/td>\n<\/tr>\n
Clickjacking<\/td>\n\u00a0<\/td>\n1<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n1<\/strong><\/td>\n<\/tr>\n
Code Injection<\/td>\n2<\/td>\n\u00a0<\/td>\n1<\/td>\n\u00a0<\/td>\n3<\/td>\n6<\/strong><\/td>\n<\/tr>\n
Cross-Site Scripting<\/td>\n\u00a0<\/td>\n1<\/td>\n\u00a0<\/td>\n2<\/td>\n\u00a0<\/td>\n3<\/strong><\/td>\n<\/tr>\n
Denial of Service<\/td>\n1<\/td>\n1<\/td>\n\u00a0<\/td>\n1<\/td>\n\u00a0<\/td>\n3<\/strong><\/td>\n<\/tr>\n
Improper input validation<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n10<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n10<\/strong><\/td>\n<\/tr>\n
Information Disclosure<\/td>\n3<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n5<\/td>\n3<\/td>\n11<\/strong><\/td>\n<\/tr>\n
Missing Authorization Check<\/td>\n4<\/td>\n3<\/td>\n6<\/td>\n5<\/td>\n1<\/td>\n19<\/strong><\/td>\n<\/tr>\n
Missing input Validation<\/td>\n16<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n16<\/strong><\/td>\n<\/tr>\n
Missing XML Validation<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n1<\/td>\n1<\/strong><\/td>\n<\/tr>\n
Remote Code Execution<\/td>\n\u00a0<\/td>\n1<\/td>\n\u00a0<\/td>\n1<\/td>\n1<\/td>\n3<\/strong><\/td>\n<\/tr>\n
Server Side Request Forgery<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n1<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n1<\/strong><\/td>\n<\/tr>\n
SQL Injection<\/td>\n1<\/td>\n1<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n\u00a0<\/td>\n2<\/strong><\/td>\n<\/tr>\n
Otros<\/td>\n6<\/td>\n6<\/td>\n4<\/td>\n5<\/td>\n4<\/td>\n25<\/strong><\/td>\n<\/tr>\n
\u00a0<\/td>\n33<\/strong><\/td>\n14<\/strong><\/td>\n22<\/strong><\/td>\n19<\/strong><\/td>\n13<\/strong><\/td>\n101<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar m\u00faltiples vulnerabilidades.<\/p>\n

Como siempre, solo queda recomendar pasarse por el apartado de\u00a0security notes<\/strong><\/a>\u00a0del Launchpad de SAP<\/strong>\u00a0y analizar las notas liberadas desde la \u00faltima actualizaci\u00f3n de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.<\/p>\n

Fuente:<\/p>\n

https:\/\/wiki.scn.sap.com\/<\/a><\/p>\n

https:\/\/cve.mitre.org\/<\/a><\/p>\n

[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”M\u00e1s informaci\u00f3n” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”]<\/p>\n

M\u00e1s informaci\u00f3n:<\/p>\n

[\/et_pb_text][et_pb_button button_url=”https:\/\/orekait.com\/es\/area-administracion-sistemas” button_text=”M\u00e1s informaci\u00f3n” module_class=”entrada-btn” _builder_version=”4.25.2″ _module_preset=”default” custom_button=”on” button_text_color=”#8156EA” button_bg_color=”RGBA(255,255,255,0)” button_border_color=”#8156EA” button_border_radius=”30px” button_font=”Plus Jakarta Sans|600|||||||” button_icon=”$||divi||400″ button_icon_color=”#8156EA” button_on_hover=”off” hover_enabled=”0″ global_colors_info=”{}” button_text_color__hover_enabled=”on|desktop” button_text_color__hover=”#8156EA” button_bg_color__hover_enabled=”on|hover” button_bg_color__hover=”#8156EA” button_bg_enable_color__hover=”on” button_icon_color__hover_enabled=”on|hover” button_icon_color__hover=”#ffffff” url_new_window=”on” sticky_enabled=”0″][\/et_pb_button][et_pb_divider show_divider=”off” _builder_version=”4.25.2″ _module_preset=”default” custom_margin=”||40px||false|false” global_colors_info=”{}”][\/et_pb_divider][\/et_pb_column][\/et_pb_row][et_pb_row use_custom_gutter=”on” admin_label=”Noticias relacionadas titulo” module_id=”fondo-articulos” _builder_version=”4.25.2″ _module_preset=”default” background_color=”#f7f7f7″ width=”100%” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_divider show_divider=”off” _builder_version=”4.25.2″ _module_preset=”default” background_color=”RGBA(255,255,255,0)” custom_margin=”||40px||false|false” global_colors_info=”{}”][\/et_pb_divider][et_pb_heading title=”Quizas te pueda interesar” _builder_version=”4.25.2″ _module_preset=”default” title_level=”h2″ title_text_align=”center” global_colors_info=”{}”][\/et_pb_heading][et_pb_divider show_divider=”off” _builder_version=”4.25.2″ _module_preset=”default” custom_margin=”||30px||false|false” global_colors_info=”{}”][\/et_pb_divider][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Noticias relacionadas” _builder_version=”4.25.2″ _module_preset=”default” width=”100%” custom_margin=”-150px||||false|false” custom_margin_tablet=”0px||||false|false” custom_margin_phone=”0px||||false|false” custom_margin_last_edited=”on|desktop” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_blog fullwidth=”off” posts_number=”3″ include_categories=”current” show_author=”off” show_date=”off” show_pagination=”off” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_blog][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"

Este\u00a0\u201cSAP Security Patch Day\u201d\u00a0de mayo ha sido bastante m\u00e1s tranquilo con menos notas liberadas de lo que nos tienen acostumbrados. Eso s\u00ed, en este mes, podemos ver las primeras notas liberadas que afectan a sistemas SAP Business One con base de datos HANA que comentaremos durante el art\u00edculo. En cuanto a n\u00fameros, se han liberado […]<\/p>\n","protected":false},"author":3,"featured_media":8642,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"Lorem ipsum dolor sit amet consectetur adipiscing elit congue montes, imperdiet taciti erat elementum fermentum sem ante ultrices ridiculus, sagittis sociis egestas quisque ac semper quis odio. Aenean hendrerit ac metus dis nascetur aliquet mollis integer, rutrum vel laoreet posuere proin sagittis luctus est, tempus duis nisl ultrices parturient tempor praesent. Dignissim curabitur nascetur pellentesque augue fringilla pulvinar eros, tempus fames vehicula maecenas cubilia id, rutrum euismod integer ut scelerisque mus.\r\n\r\nVivamus auctor odio aenean rhoncus natoque dictum purus, volutpat pellentesque laoreet ridiculus consequat nisi varius euismod, augue platea convallis curae magnis taciti. Imperdiet nibh curabitur quisque orci consequat aenean pellentesque, cubilia duis senectus felis sed posuere tortor, magnis enim diam a odio sociis. Enim tellus nisl nec molestie augue luctus tempor habitant, nunc dictumst phasellus volutpat sem facilisis taciti, habitasse laoreet at turpis vel fermentum vulputate.","_et_gb_content_width":"","footnotes":""},"categories":[48,50],"tags":[],"class_list":["post-8640","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administracion-de-sistemas","category-sap-security-patch-day"],"_links":{"self":[{"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/posts\/8640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/comments?post=8640"}],"version-history":[{"count":5,"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/posts\/8640\/revisions"}],"predecessor-version":[{"id":21548,"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/posts\/8640\/revisions\/21548"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/media\/8642"}],"wp:attachment":[{"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/media?parent=8640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/categories?post=8640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/orekait.com\/es\/wp-json\/wp\/v2\/tags?post=8640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}