Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Publicadas las actualizaciones de seguridad de diciembre en productos SAP

Fecha de publicación 09/12/2020
Importancia
5 - Crítica
Recursos Afectados
  • SAP NetWeaver AS JAVA (P2P Cluster Communication) versiones 7.11, 7.20, 7.30, 7.31, 7.40, 7.50;
  • SAP BW4HANA, versiones - 100, 200.
Descripción

SAP ha publicado el boletín de seguridad mensual correspondiente al mes de diciembre. En él la empresa informa de que varios de sus productos están afectados por vulnerabilidades de seguridad, algunas de ellas consideradas de carácter crítico, por lo que SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

Solución

Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

Logo SAP

Entre las vulnerabilidades corregidas de carácter crítico en la actualización mensual, se encuentran:

  • Falta de controles en la autenticación. Esta vulnerabilidad podría provocar que un ciberdelincuente sin autorización pueda conectarse al puerto P2P del servidor y espiar las comunicaciones entre los elementos del clúster.
  • Falta de validación del código XML. Esta vulnerabilidad permitiría a los ciberdelincuentes inyectar entidades XML arbitrarias que permitirían conocer la estructura de los archivos y directorios internos permitiendo la falsificación de solicitudes del lado del servidor, así como la ejecución de ataques de denegación de servicio (DoS).
  • Ejecución de código malicioso debido a un error en el proceso de validación de entrada. Un ciberdelincuente podría infectar el dispositivo con software malicioso especialmente diseñado para tomar el control del dispositivo así como comprometer la integridad y disponibilidad del sistema afectado.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT.

Línea de ayuda en ciberseguridad 017

Listado de referencias
SAP Security Patch Day – December 2020
SAP Security Patch Day December 2020: Serious Vulnerability in SAP NetWeaver AS JAVA Requires Immediate Patching
Etiquetas