Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Actualizaciones de seguridad de febrero en productos SAP

Fecha de publicación 10/02/2021
Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Client, versión 6.5
  • SAP Commerce, versiones 1808,1811,1905,2005,2011
  • SAP Business Warehouse, versiones 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
  • SAP NetWeaver AS ABAP, versiones 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020
  • SAP NetWeaver Process Integration, versiones 7.10, 7.11, 7.30, 7.31, 7.40, 7.50
  • SAP S4 HANA, versiones 101, 102, 103, 104, 105
  • SAP HANA Database, versiones 1.0, 2.0
  • SAP Software Provisioning Manager, versión 1.0
  • SAP Business Objects Business Intelligence Platform, versiones 410, 420, 430
  • SAP UI5, Versions 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4, 1.86.1
  • SAP Web Dynpro ABAP
  • SAP UI, versiones 7.5, 7.51, 7.52, 7.53, 7.54
  • SAP UI 700, versiones 2.0
  • SAP NetWeaver AS ;ABAP, versiones 740, 750, 751, 752, 753, 754, 755
  • SAP NetWeaver Master Data Management Server, versiones 710, 710.750
Descripción

SAP ha publicado el boletín de seguridad mensual de febrero en el que la empresa informa de varias vulnerabilidades de seguridad que están afectando a sus productos, algunas de ellas consideradas de carácter crítico. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

Solución

Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

Logo SAP

Entre las vulnerabilidades publicadas en el boletín de seguridad, destacan las siguientes, consideradas de carácter crítico:

  • Una vulnerabilidad de inyección SQL podría permitir a un atacante con privilegios bajos ejecutar cualquier consulta elaborada en la base de datos. Un atacante puede incluir sus propios comandos SQL y que serán ejecutados en la base de datos ejecutará ya que esta no los sanea de forma adecuada.
  • Un atacante con pocos privilegios podría inyectar código utilizando un módulo de función habilitado de forma remota a través de la red. A través del módulo de función, un atacante puede crear un informe ABAP malicioso que podría ser utilizado para obtener acceso a datos sensibles, para inyectar sentencias UPDATE maliciosas que también podrían tener impacto en el sistema operativo, para interrumpir la funcionalidad del sistema SAP pudiendo provocar una denegación de servicio.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT.

Línea de ayuda en ciberseguridad 017