Actualización de seguridad de SAP de abril de 2022

Fecha de publicación 13/04/2022
Importancia
5 - Crítica
Recursos Afectados
  • Fiori Launchpad, versiones 754, 755 y 756;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP Business Client, versión 6.5;
  • SAP BusinessObjects Business Intelligence Platform (BI Workspace), versión 420;
  • SAP BusinessObjects Business Intelligence Platform, versiones 420 y 430;
  • SAP BusinessObjects Enterprise (Central Management Server), versiones 420 y 430;
  • SAP Commerce, versiones 1905, 2005, 2105 y 2011;
  • SAP Content Server, versión 7.53;
  • SAP Customer Checkout, versión 2.0;
  • SAP Customer Checkout_SVR, versión 2.0;
  • SAP Focused Run (Simple Diagnostics Agent), versión 1.0;
  • SAP HANA Extended Application Services, versión 1;
  • SAP Innovation Management, versión 2;
  • SAP Manufacturing Integration and Intelligence, versiones 15.1, 15.2, 15.3 y 15.4;
  • SAP NetWeaver (EP Web Page Composer), versiones 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver (Internet Communication Manager), versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 y 7.86;
  • SAP NetWeaver ABAP Server and ABAP Platform, versiones 740, 750 y 787;
  • SAP NetWeaver Application Server ABAP and ABAP Platform, versiones 700, 710, 711, 730, 731, 740 y 750-756;
  • SAP NetWeaver Application Server Java, versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 y 7.53;
  • SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel), versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
  • SAP NetWeaver Application Server for Java, versión 7.50;
  • SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver and ABAP Platform, versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
  • SAP SQL Anywhere Server, versión 17.0;
  • SAP Web Dispatcher, versiones 7.22, 7.22EXT, 7.49, 7.53, 7.77, 7.81, 7.83, 7.85, 7.86 y 7.87;
  • SAPS/4HANA(Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer), versiones 104, 105 y 106;
  • SAPUI5 (vbm library), versiones 750, 753, 754, 755 y 756;
  • SAPUI5, versiones: 750, 753, 754, 755, 756 y 200.
Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 22 notas de seguridad y 10 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 4 de severidad alta, 13 de severidad media y 2 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidades de ejecución remota de código;
  • 3 vulnerabilidades de Cross-Site Scripting (XSS);
  • 3 vulnerabilidades de denegación de servicio (DoS);
  • 3 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de escalada de privilegios;
  • 1 vulnerabilidad de falta de comprobación de entrada;
  • 2 vulnerabilidades de falta de validación XML;
  • 1 vulnerabilidad de redirección URL;
  • 1 vulnerabilidad de directory traversal;
  • 1 vulnerabilidad de Cross-Side Request Forgery (CSRF);
  • 1 vulnerabilidad de falta de autorización;
  • 1 vulnerabilidad de otro tipo.

La nota de seguridad más destacada del mes se refiere a la vulnerabilidad en Spring Framework en SAP HANA Extended Application Services, con el identificador CVE-2022-22965 asignado.

Encuesta valoración

Listado de referencias
SAP Security Patch Day –April2022
SAP Security Patch Day April 2022: In Focus: Spring4Shell and SAP MII
Etiquetas