Actualización de seguridad de SAP de marzo de 2022

Fecha de publicación: 09/03/2022

Importancia:
Crítica

Recursos afectados:

• Fiori Launchpad, versiones: 754, 755 y 756;
• SAP Business Objects Business Intelligence Platform, versiones 420 y 430;
• SAP Content Server, versión 7.53;
• SAP Financial Consolidation, versión 10.1;
• SAP Focused Run, versiones: 200 y 300;
• SAP Inventory Manager, versiones: 4.3 y 4.4;
• SAP NetWeaver and ABAP Platform, versiones: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.4;
• SAP NetWeaver Application Server for ABAP, versiones: 700, 701, 702 y 731;
• SAP NetWeaver AS JAVA (Portal Basis), versión 7.50;
• SAP NetWeaver Enterprise Portal, versiones: 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver Enterprise Portal, versiones: 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Web Dispatcher, versiones: 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87;
• SAP Work Manager, versiones: 6.4, 6.5 y 6.6;
• SAPCAR, versión 7.22;
• SAP-JEE, versión 6.40;
• SAP-JEECOR, versiones: 6.40, 7.00 y 7.01;
• SAPS/4HANA (Hoja de datos de proveedores y búsqueda de empresas para socios comerciales, proveedores y clientes), versiones: 104, 105 y 106;
• SERVERCORE, versiones: 7.10, 7.11, 7.20, 7.30 y 7.31;
• Simple Diagnostics Agent;
• Simple Diagnostics Agent, versiones: =>1.0 a < 1.58.

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 12 notas de seguridad y 4 actualizaciones de notas anteriores, siendo 4 de severidad crítica, 1 de severidad alta, 10 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

• 2 vulnerabilidad de ejecución remota de código;
• 4 vulnerabilidad de Cross-Site Scripting (XSS);
• 1 vulnerabilidad de denegación de servicio (DOS);
• 1 vulnerabilidad de salto de directorio (Directory Traversal);
• 4 vulnerabilidades de divulgación de información;
• 1 vulnerabilidad de falta de comprobación de autenticación;
• 2 vulnerabilidades de falta de autorización;
• 1 vulnerabilidad de contrabando de solicitudes (request smuggling) y concatenación de solicitudes (request concatenation).

Las notas de seguridad más destacadas se refieren a:

• Las solicitudes no autorizadas y la concatenación de solicitudes en SAP NetWeaver, SAP Content Server y SAP Web Dispatcher, podrían permitir a un atacante no autentificado añadir datos arbitrarios a la solicitud de la víctima. De este modo, el atacante puede ejecutar funciones suplantando a la víctima o envenenar las cachés web intermediarias, comprometiendo la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2022-22536 para esta vulnerabilidad.
• Las características JNDI utilizadas en la configuración, los mensajes de registro y los parámetros, en el componente Apache Log4j 2, no protegen contra LDAP controlado por un atacante y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro podría ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está habilitada. Se han asignado los identificadores CVE-2021-44228 y CVE-2021-44228 para esta vulnerabilidad.
• La falta de comprobación de autenticación en la ejecución centrada en SAP (Agente de Diagnóstico Simple 1.0), para las funcionalidades a las que se puede acceder a través de localhost en el puerto http 3005, podría permitir a un atacante acceder a funcionalidades administrativas o privilegiadas y leer, modificar o eliminar información y configuraciones sensibles. Se ha asignado el identificador CVE-2022-24396 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-26101, CVE-2022-22542, CVE-2022-24395, CVE-2022-24397, CVE-2022-26104, CVE-2022-26102, CVE-2022-24399, CVE-2022-22547, CVE-2022-24398, CVE-2022-26100 y CVE-2022-26103.

Etiquetas:
Actualización, SAP, Vulnerabilidad