Inicio / Protege tu empresa / Avisos Seguridad / Actualizaciones de seguridad de enero 2022 para productos SAP

Actualizaciones de seguridad de enero 2022 para productos SAP

Fecha de publicación: 
12/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Internet of Things Edge Platform
  • SAP BTP API Management (Tenant Cloning Tool)
  • SAP BTP Cloud Foundry
  • SAP BTP Kyma
  • SAP Business One
  • SAP Cloud for Customer (add-in for Lotus notes client)
  • SAP Cloud-to-Cloud
  • SAP Connected Health Platform 2.0 - Fhirserver
  • SAP Customer Checkout
  • SAP Digital Manufacturing Cloud for Edge Computing
  • SAP Edge Services Cloud Edition
  • SAP Edge Services On Premise Edition
  • SAP Enable Now Manager
  • SAP Enterprise
  • SAP HANA XS Advanced  y  SAP HANA XS Advanced Cockpit
  • SAP Landscape Management
  • SAP NetWeaver ABAP Server and ABAP Platform (Adobe LiveCycle Designer 11.0)
  • SAP NetWeaver AS ABAP, versiones - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756
  • SAP NetWeaver Process Integration (Java Web Service Adapter)
  • SAP S/4HANA, versiones - 100, 101, 102, 103, 104, 105, 106
Descripción: 

SAP ha publicado el boletín de seguridad de enero de 2022 con parches de seguridad para sus productos, algunos de las cuales resuelven vulnerabilidades de severidad alta y crítica. La mayoría de los parches publicados son consecuencia de versiones afectadas por las vulnerabilidades de Apache Log4j, recientemente publicadas. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

Solución: 

Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle: 

Logo SAP

Los parches del boletín de seguridad son, en su mayoría, consecuencia de productos afectados por las vulnerabilidades de Apache Log4j, recientemente publicadas. Además se parchean otras dos vulnerabilidades: una de Cross-Site Scripting y una inyección de código en la app Create Single Payment de S/4HANA.

  • SAP analizó y parcheó las aplicaciones afectadas por las vulnerabilidades de Log4j. Durante este análisis,  detectó otra vulnerabilidad diferente en SAP Landscape Management Enterprise Edition 3.0, causada por una versión más antigua de la biblioteca Log4j. Se parchea esta vulnerabilidad crítica de inyección de código causada por la versión 1.2 de Log4j. La biblioteca Log4j es también utilizada por el componente heredado SAP Crystal Reports, lo que permite a un atacante inyectar código que puede ser ejecutado por la aplicación, obteniendo así el control total de la misma. Este parche elimina completamente SAP Crystal Reports, a la vez que indica que la versión 1.2 de la biblioteca Log4j no está afectada por esta vulnerabilidad.
  • La aplicación Single Payment de S/4HANA permite realizar un pago directo a proveedores. La  vulnerabilidad de Cross-Site Scripting consiste en que los archivos cargados y descargados no son comprobados por la aplicación, lo que permite a un atacante con derechos básicos de usuario ejecutar código script arbitrario, pudiendo dar lugar a la divulgación o modificación de información sensible.
  • La vulnerabilidad de inyección de código podría permitir a un atacante con derechos básicos de usuario inyectar contenido peligroso o código malicioso que podría dar lugar a la modificación de información crítica o comprometer completamente la disponibilidad de la aplicación.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017