Fecha de publicaciĆ³n: 09/02/2022
Importancia:
CrĆtica
Recursos afectados:
- SAP Web Dispatcher: versiones – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87;
- SAP Content Server, versiĆ³n – 7.53;
- SAP NetWeaver y ABAP Platform: versiones – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
- SAP Commerce: versiones – 1905, 2005, 2105 y 2011;
- SAP Data Intelligence, versiĆ³n – 3;
- SAP Dynamic Authorization Management, versiĆ³n – 9.1.0.0, 2021.03;
- Internet of Things Edge Platform, versiĆ³n – 4.0;
- SAP Customer Checkout, versiĆ³n – 2;
- SAP Business Client, versiĆ³n ā 6.5;
- SAP Solution Manager (Diagnostics Root Cause Analysis Tools), versiĆ³n – 720;
- SAP S/4HANA: versiones – 100, 101, 102, 103, 104, 105 y 106;
- SAP NetWeaver Application Server Java: versiones – KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 y 7.53;
- SAP NetWeaver AS ABAP (Workplace Server): versiones – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 787;
- SAP NetWeaver (ABAP y Java application Servers): versiones – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 756;
- SAP ERP HCM (Portugal): versiones – 600, 604, y 608;
- SAP Business Objects Web Intelligence (BI Launchpad) , versiĆ³n – 420;
- SAP 3D Visual Enterprise Viewer , versiĆ³n – 9.0;
- SAP Adaptive Server Enterprise , versiĆ³n – 16.0;
- SAP S/4HANA (Supplier Factsheet y Enterprise Search para Business Partner, Supplier y Customer)Ā : versiones – 104, 105 y 106;
- SAP NetWeaver Application Server para ABAP (Kernel) y ABAP Platform (Kernel) : versiones – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49.
DescripciĆ³n:
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
SoluciĆ³n:
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, segĆŗn indique el fabricante.
Detalle:
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de ellas fuera de ciclo y 5 actualizaciones de notas anteriores, siendo 9 de severidad crĆtica, 3 de severidad alta, 6 de severidad media y 1 de severidad baja.
Los tipos de vulnerabilidades crĆtica y altas publicadas se corresponden con los siguientes:
- 2 vulnerabilidades deĀ contrabando de solicitudesĀ (request smuggling) y request concatenation. Se han asignado los identificadores CVE-2022-22536 y CVE-2022-22532 para estas vulnerabilidades;
- 6 vulnerabilidades de ejecuciĆ³n remota de cĆ³digo asociada a Apache Log4j2. Se han asignado los identificadores CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 y CVE-2021-44228 relacionados con estas vulnerabilidades;
- Falta de segregaciĆ³n de funciones en SAP Solution Manager Diagnostics Root Cause Analysis Tools. Se ha asignado el identificador CVE-2022-22544 para esta vulnerabilidad;
- 1 vulnerabilidad de inyecciĆ³n SQL. Se ha asignado el identificador CVE-2022-22540 para esta vulnerabilidad.
Las notas de seguridad mƔs destacadas se refieren a:
- Vulnerabilidades de ejecuciĆ³n remota de cĆ³digo asociada a Apache Log4j2.
- Actualizaciones de seguridad para el control del navegador Google Chromium.
- MĆŗltiples vulnerabilidades en la aplicaciĆ³n F0743 Create Single Payment de SAP S/4HANA.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-22534, CVE-2022-22535, CVE-2022-22546, CVE-2022-22537, CVE-2022-22539, CVE-2022-22538, CVE-2022-22528, CVE-2022-22542 y CVE-2022-22543.
Etiquetas:
ActualizaciĆ³n, SAP, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.