Actualizaciones de seguridad de SAP de febrero de 2022

SAP ha publicado actualizaciones de seguridad del mes de febrero que subsanan un total de 19 vulnerabilidades: 12 de severidad alta, 6 de severidad media y 1 de severidad baja.

Entre ellas se destacan:

  • CVE-2021-44228 de severidad critica, con una puntuación de 10. Esta vulnerabilidad se debe a un fallo en las características JNDI del apache Log4j utilizadas en la configuración de los servicios de SAP. Esto permitiría a un atacante controlar los logs de mensajes con el objetivo de ejecutar código arbitrario cuando la opción message lookup substitution se encuentre habilitada.
  • CVE-2022-22536 de severidad crítica, con una puntuación de 10. Esta vulnerabilidad se debe a un fallo en el manejo de peticiones que podría utilizarse para insertar el encabezado de solicitud REMOTE_USER y suplantar a otro usuario de SAP, incluida la cuenta de «Administrador» presente de forma predeterminada.
  • CVE-2021-44832 de severidad media, con una puntuación de 6.6. Esta vulnerabilidad se debe a una falla en la configuración que utiliza el JDBC Appender. Si un atacante previamente pudiera controlar y modificar el contenido del archivo de configuración del login con el objetivo de cargar y ejecutar código Java arbitrario, lograría ejecutar comandos remotamente en el equipo de la víctima.

La mayoría de las actualizaciones de seguridad publicadas son consecuencia de versiones afectadas por las vulnerabilidades de Apache Log4j.

Los productos afectados son:

  • SAP Business Client 6.5
  • SAP Commerce, versiones 1808,1811,1905,2005 y 2011
  • SAP Business Warehouse, versiones 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 782
  • SAP NetWeaver AS ABAP, versiones 2011.1.620, 2011.1.640, 2011.1.700, 2011.1.710, 2011.1.730, 2011.1.731, 2011.1.752 y 2020
  • SAP NetWeaver Process Integration, versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50
  • SAP S4 HANA, versiones 101, 102, 103, 104 y 105
  • SAP HANA Database, versiones: 1.0 y 2.0
  • SAP Software Provisioning Manager 1.0
  • SAP Business Objects Business Intelligence Platform, versiones 410, 420 y 430

Se puede acceder al listado completo aquí.

Recomendamos descargar e instalar las actualizaciones proveídas por el fabricante siguiente guía:

Referencias:

Compartir: