Inicio / Content / Boletín de INCIBE-CERT del 12-05-2021

Boletín de INCIBE-CERT del 12-05-2021

Actualización de seguridad de SAP de mayo de 2021

Fecha de publicación: 
12/05/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business Client, versión 6.5;
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP Business Warehouse, versiones 700, 701, 702, 711, 730, 731, 740, 750 y 782;
  • SAP BW4HANA, versiones 100 y 200;
  • SAP NetWeaver AS ABAP, versiones 700, 701, 702, 730 y 731;
  • SAP Business One para SAP HANA (Cookbooks), versiones 0.1.6, 0.1.7 y 0.1.9;
  • SAP Business One (Cookbooks), versión 0.1.9;
  • SAP Process Integration (Integration Builder Framework), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Application Server Java (Applications basadas en Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Focused RUN, versiones 200 y 300;
  • SAP GUI for Windows, versiones 7.60 y 7.70.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, otras 3 de severidad alta, 4 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 3 vulnerabilidades de inyección de código;
  • 3 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de falta de comprobación de autenticación;
  • 1 vulnerabilidad de falta de validación XML;
  • 1 vulnerabilidad de ejecución remota de código;
  • 4 vulnerabilidades de otro tipo.

Las nuevas notas de seguridad más destacadas se refieren a:

  • SAP NetWeaver AS ABAP: se corrige una vulnerabilidad de inyección de código, que podría permitir a un atacante, con acceso local al sistema SAP, leer y sobrescribir datos, así como iniciar un ataque de denegación de servicio. Se ha asignado el identificador CVE-2021-27611 para esta vulnerabilidad de severidad alta.
  • SAP Business One (B1) en MS SQL Server y para SAP HANA: se corrigen múltiples vulnerabilidades, que podrían permitir a un atacante divulgar información o inyectar código malicioso. Se han asignado los identificadores CVE-2021-27616 y CVE-2021-27613 para estas vulnerabilidades de severidad alta.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de mayo de 2021

Fecha de publicación: 
12/05/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • .NET Core & Visual Studio;
  • HTTP.sys;
  • Internet Explorer;
  • Microsoft Accessibility Insights para Web;
  • Microsoft Bluetooth Driver;
  • Microsoft Dynamics Finance & Operations;
  • Microsoft Exchange Server;
  • Microsoft Graphics Component;
  • Microsoft Office;
  • Microsoft Office Access;
  • Microsoft Office Excel;
  • Microsoft Office SharePoint;
  • Microsoft Office Word;
  • Microsoft Windows Codecs Library;
  • Microsoft Windows IrDA;
  • Open Source Software;
  • Role: Hyper-V;
  • Skype para Business y Microsoft Lync;
  • Visual Studio;
  • Visual Studio Code;
  • Windows Container Isolation FS Filter Driver;
  • Windows Container Manager Service;
  • Windows Cryptographic Services;
  • Windows CSC Service;
  • Windows Desktop Bridge;
  • Windows OLE;
  • Windows Projected File System FS Filter;
  • Windows RDP Client;
  • Windows SMB;
  • Windows SSDP Service;
  • Windows WalletService;
  • Windows Wireless Networking.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de mayo, consta de 55 vulnerabilidades, clasificadas 4 como críticas, 50 como importantes y 1 como moderada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • Denegación de servicio.
  • Escalada de privilegios.
  • Divulgación de información.
  • Ejecución remota de código.
  • Omisión de la función de seguridad.
  • Suplantación de identidad (spoofing).

Microsoft también ha corregido 3 vulnerabilidades 0day con identificadores CVE-2021-31204, CVE-2021-31207 y CVE-2021-31200.

IMPORTANTE: hay 4 vulnerabilidades críticas, la más destacada es una vulnerabilidad woormable detectada en la implementación de la pila del protocolo HTTP (http.sys), que permitiría la ejecución de código en el servidor. Se ha asignado el identificador CVE-2021-31166 para esta vulnerabilidad.

Encuesta valoración

Actualizaciones de seguridad de Adobe de mayo de 2021

Fecha de publicación: 
12/05/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Adobe Experience Manager,
  • Adobe InDesign,
  • Adobe Illustrator,
  • Adobe InCopy,
  • Adobe Genuine Service,
  • Adobe Acrobat y Reader,
  • Magento,
  • Adobe Creative Cloud Desktop Application,
  • Adobe Media Encoder,
  • Adobe After Effects,
  • Adobe Medium,
  • Adobe Animate.
Descripción: 

Adobe ha publicado una actualización de seguridad mensual, correspondiente al mes de mayo, que corrige 43 vulnerabilidades, repartidas en 24 críticas, 13 altas y 6 medias (sin incluir dependencias en Adobe Experience Manager), que afectan a 12 aplicaciones diferentes.

Solución: 

Adobe recomienda actualizar los productos afectados a la última versión disponible, ya sea mediante las actualizaciones automáticas, o manualmente desde el centro de descargas de Adobe.

Detalle: 

El fabricante ha notificado una vulnerabilidad crítica que está siendo explotada activamente en ataques limitados dirigidos a los usuarios de Adobe Reader en Windows, y que podría causar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2021-28550 para esta vulnerabilidad.

Encuesta valoración