Fecha de publicación: 09/03/2022
Importancia:
CrÃtica
Recursos afectados:
- SAP Web Dispatcher, versiones 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87,
- SAP Content Server, versión 7.53,
- SAP NetWeaver and ABAP Platform, versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22EXT, KRNL64NUC,
- SAP Work Manager, versiones 6.4, 6.5 y 6.6,
- SAP Inventory Manager, versiones 4.3 y 4.4,
- Simple Diagnostics Agent
- Fiori Launchpad, versiones 754, 755 y 756, • SAP-JEE, versión 6.40,
- SAP-JEECOR, versiones 6.40, 7.00 y 7.01, • SERVERCORE, versiones 7.10, 7.11, 7.20, 7.30 y7.31,
- SAPS/4HANA(Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer), versiones 104, 105 y 106,
- SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50, • SAP Financial Consolidation, versión 10.1,
- SAP NetWeaver Application Server for ABAP, versiones 700, 701, 702 y 731, • SAP Focused Run, versiones 200 y 300,
- Simple Diagnostics Agent, versiones superiores e incluyendo la 1.0 y anteriores a la 1.58,
- SAP Business Objects Business Intelligence Platform, versión 420 y 430,
- SAPCAR, versión 7.22,
- SAP NetWeaver AS JAVA (Portal Basis), versión 7.50.
Descripción:
SAP ha publicado el boletÃn de marzo de 2022 con 17 parches de seguridad, nuevos o actualizados, para sus productos, algunos de las cuales resuelven vulnerabilidades de severidad alta y crÃtica. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.
Solución:
Aplicar los parches de seguridad publicados por SAP desde la página oficial de soporte, según las indicaciones del fabricante.
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:
- PolÃtica de actualizaciones de software
- Minimiza los riesgos de un ataque: ¡actualiza el software!
- Buenas prácticas en el área de informática
- Evalúa los riesgos de tu empresa en tan solo 5 minutos
- Cómo prevenir incidentes en los que intervienen dispositivos móviles
¿Te gustarÃa estar a la última con la información de nuestros avisos? AnÃmate y suscrÃbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o sÃguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la LÃnea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.
Detalle:
En el boletÃn de seguridad de este mes se corrigen o actualizan varias vulnerabilidades crÃticas. Una de las vulnerabilidades crÃticas parcheadas corresponde a la vulnerabilidad de Log4j que afecta a SAP Work Manager, SAP Inventory Manager que se ejecutan en instalaciones locales de la plataforma SMP (SAP Mobile Platform).
Los parches de Log4j aún están pendientes para:
- Aplicaciones de clientes en BTP Cloud Foundry Environment,
- SAP Commerce Cloud (en Public Cloud),
- SAP Commerce Cloud (en SAP Infrastructure V1.0 y V1.2),
- SAP Commerce (on-premise) y SAP Contact Center 7.0
Otra vulnerabilidad crÃtica parcheada consiste en una falta de autenticación en el agente SAP Simple Diagnostics que permite a un atacante acceder a funcionalidades administrativas u otras funcionalidades con privilegios y leer, modificar o borrar información y configuraciones sensibles, pudiendo llevar a un compromiso completo del sistema afectado. Para parchear la vulnerabilidad, los clientes de SAP deben actualizar tanto el agente de SAP Simple Diagnostics como el agente de SAP Host.
Otra vulnerabilidad crÃtica corregida es un fallo de Cross-Site Scripting (XSS) o ‘secuencias de comandos en sitios cruzados’ en SAP Fiori que permite a un atacante no autenticado manipular un parámetro para inyectar código HTML y crear un enlace. Si el usuario hace clic en el enlace, el atacante puede apropiarse de los privilegios del usuario y utilizarlos para exfiltrar datos y elaborar un ataque CSRF (Cross Site Request Forgery) o ‘falsificación de petición en sitios cruzados’ para manipular los datos.
Tu soporte técnico puede consultar una solución más detallada en el área de avisos de  INCIBE-CERT.
Etiquetas:
Actualización, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.