Actualizaciones de seguridad de diciembre para productos SAP

Fecha de publicación 15/12/2021
Importancia
5 - Crítica
Recursos Afectados
  • SAF-T Framework, versiones - SAP_FIN 617, 618, 720, 730, SAP_APPL 600, 602, 603, 604, 605, 606, S4CORE 102, 103, 104, 105;
  • SAP 3D Visual Enterprise Viewer, versión - 9;
  • SAP ABAP Server y plataforma ABAP (herramientas de traducción), versiones - 701, 740,750,751,752,753,754,755,756,804;
  • SAP Business Client, versión – 6.5;
  • SAP BusinessObjects plataforma Business Intelligence, versión – 420;
  • SAP Commerce, versiones - 1905, 2005, 2105, 2011;
  • SAP GRC Access Control, versiones - V1100_700, V1100_731, V1200_750;
  • SAP Knowledge Warehouse, versiones - 7.30, 7.31, 7.40, 7.50;
  • SAP Landscape Transformation, versión - 2.0;
  • SAP LT Replication Server, versions - 2.0, 3.0;
  • SAP LTRS for S/4HANA, versión - 1.0;
  • SAP NetWeaver AS ABAP, versiones - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756;
  • SAP S/4HANA, versiones - 1511, 1610, 1709, 1809, 1909, 2020, 2021;
  • SAP SuccessFactors aplicación móvil (para dispositivos Android), versiones - <2108;
  • SAP Test Data Migration Server, versión - 4.0;
  • SAP UI 700, versiones - 2.0;
  • SAP UI, versiones - 7.5, 7.51, 7.52, 7.53, 7.54;
  • SAP Web Dispatcher and Internet Communication Manager, versiones - KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82, 7.83, KERNEL 7.21, 7.22, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82, 7.83.
Descripción

SAP ha publicado el boletín de seguridad de diciembre en el que informa de varias vulnerabilidades de seguridad que están afectando a sus productos, siendo cuatro  de ellas de carácter crítico (dos actualizaciones y dos nuevas) y seis de severidad alta. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

Este boletín está marcado por la detección de la vulnerabilidad crítica de Apache Log4j, recientemente publicada. El equipo de seguridad de SAP ha estado comprobando el impacto en las aplicaciones SAP y resume el estado actual de este análisis, identificando 32 aplicaciones afectadas por CVE-2021-44228: 20 de ellas ya están parcheadas y 12 están pendientes. El documento también proporciona soluciones para algunas de las aplicaciones pendientes.

Solución

Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle

Logo SAP

 

Entre las vulnerabilidades publicadas en el boletín de seguridad de este mes destacan:

  • Se parchea una vulnerabilidad de inyección de código en las herramientas de traducción de SAP ABAP Server & plataforma ABAP. La vulnerabilidad permite a un atacante con pocos privilegios ejecutar comandos arbitrarios en segundo plano.
  • Se parchea una vulnerabilidad, que afecta a las instalaciones de SAP Commerce configuradas para utilizar una base de datos Oracle, y que podría permitir a un atacante ejecutar consultas de base de datos manipuladas a través de la inyección de comandos SQL maliciosos, exponiendo así la base de datos backend.
  • Los clientes de SAP Commerce, que utilizan el acelerador B2C, también se ven afectados por una vulnerabilidad de criticidad alta, que podría permitir a un atacante provocar retrasos en la respuesta e interrupciones del servicio, dando lugar a una situación de denegación de servicio.
  • Se parchea una vulnerabilidad de criticidad alta del tipo Cross-Site Scripting en SAP Knowledge Warehouse (SAP KW), que puede dar lugar a la divulgación de datos sensibles.
  • Se corrige una vulnerabilidad de criticidad alta del tipo inyección de código en SAP NetWeaver AS ABAP, que podría conducir a la ejecución de comandos arbitrarios en el sistema operativo.
  • Se parchea una vulnerabilidad del tipo Directory Traversal en SAF-T, que convierte datos fiscales de SAP en el formato Standard Audit File Tax (abreviado como SAF-T) y viceversa. El SAF-T es un estándar internacional de la OCDE para el intercambio electrónico de datos fiscales. Una validación insuficiente de la información permite a un atacante leer la estructura completa del sistema de archivos.
  • Se proporciona un parche para SAP Business Client con las últimas correcciones de Chromium probadas.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017

Listado de referencias
SAP Security Patch Day – December 2021
SAP Security Patch Day December 2021: A Patch Day in the Shadow of Log4j
Etiquetas