[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2022\/07\/Sap-Security-Patch-Day-blog.png” alt=”cloud-public” title_text=”Sap-Security-Patch-Day-blog” admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|desktop” sticky_enabled=”0″]<\/p>\n
Con precisi\u00f3n alemana, SAP ha publicado desde 2018, el segundo martes de cada mes una entrada en su blog con el security patch day. Ahora para consultar las notas de seguridad publicadas debemos utilizar la aplicaci\u00f3n de\u00a0security notes del launchpad<\/a>, o acceder a un documento que SAP publica\u00a0aqu\u00ed<\/a>.<\/p>\n Desde Oreka IT seguimos considerando importante continuar con la divulgaci\u00f3n de estas actualizaciones ya que entendemos que es la mejor forma de explicar la criticidad de mantener actualizadas las aplicaciones corporativas.<\/p>\n Comenzando con el an\u00e1lisis cuantitativo, desde el \u00faltimo\u00a0security patch day de junio<\/a>\u00a0SAP ha publicado 26 notas de seguridad, de las cuales 4 son de importancia high, este mes no hay ninguna nota de seguridad calificada como Hot new.<\/p>\n Tras revisar las notas publicadas en este security patch day, vemos que las m\u00e1s cr\u00edticas se enfocan en Sap Business One y se pueden resolver actualizando a la \u00faltima versi\u00f3n 10.0 FP2202. Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.<\/p>\n A continuaci\u00f3n, analizaremos estas 4 notas:<\/strong><\/p>\n Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console)<\/strong><\/p>\n Vulnerabilidad en SAP Business Objects CMC que permite a un atacante no autenticado obtener informaci\u00f3n a trav\u00e9s de la red, informaci\u00f3n que deber\u00eda estar restringida. Para que esta vulnerabilidad sea posible es necesario que un usuario leg\u00edtimo acceda a la aplicaci\u00f3n y est\u00e9 localmente comprometido, por ejemplo, mediante la t\u00e9cnica del sniffing o ingenier\u00eda social. En caso de conseguirlo el atacante puede comprometer la seguridad de la aplicaci\u00f3n.<\/p>\n SAP ha documentado esta vulnerabilidad en la nota 3221288, en la que nos indica que esta vulnerabilidad est\u00e1 solventada desde las versiones 4.2 SP09 Patch 9 y 4.3 SP01. Versiones que SAP ha publicado recientemente.<\/p>\n Una vez m\u00e1s, cabe remarcar la importancia de mantener actualizadas las aplicaciones y de seguir un plan de mantenimiento que nos permita anticiparnos a estas vulnerabilidades.<\/p>\n [CVE-2022-32249]<\/strong>\u00a0Information Disclosure vulnerability in SAP Business One<\/strong><\/p>\n \u00a0<\/strong>Vulnerabilidad en SAP Business One cuando este se integra con SAP HANA. Un atacante podr\u00eda vulnerar la HANA Cockpit data volume para conseguir acceso a informaci\u00f3n altamente sensible c\u00f3mo credenciales de cuenta con privilegios.<\/p>\n Seg\u00fan la informaci\u00f3n publicada en la nota 3212997, existe un workaround parcial que \u00fanicamente solventa la vulnerabilidad para el protocolo FTP. SAP insiste en la necesidad de actualizar a la \u00faltima versi\u00f3n de SAP Business One 10.0 FP2202 que resuelve esta vulnerabilidad.\u00a0<\/strong><\/p>\n <\/p>\n [CVE-2022-28771]<\/strong>\u00a0Missing Authentication check in SAP Business One (License service API)<\/strong><\/p>\n En la nota 3157613 SAP documenta la informaci\u00f3n de esta vulnerabilidad por la que un atacante sin autenticar puede enviar peticiones HTTP maliciosas sobre la red y en caso de lograr explotar la vulnerabilidad podr\u00eda afectar al funcionamiento de la aplicaci\u00f3n pudiendo provocar una indisponibilidad de la aplicaci\u00f3n.<\/p>\n SAP proporciona el workaround descrito en la nota 3189816, pero insiste en que la soluci\u00f3n permanente y recomendada es actualizar a la \u00faltima versi\u00f3n disponible de SAP Business One 10.0 FP2202.<\/p>\n [CVE-2022-31593] Code Injection vulnerability in SAP Business One<\/strong><\/p>\n Vulnerabilidad en la que un atacante con pocos privilegios puede realizar una inyecci\u00f3n de c\u00f3digo que puede ser ejecutado por Sap Business One. Pudiendo llegar a obtener control sobre el funcionamiento de la aplicaci\u00f3n.<\/p>\n La vulnerabilidad afecta principalmente al cliente B1, que puede ejecutar otros ficheros ejecutables.<\/em><\/strong><\/p>\n Actualmente los usuarios pueden subir ficheros desde el cliente B1 y ejecutarlos en la aplicaci\u00f3n, con la nueva versi\u00f3n\u00a0<\/strong>SAP Business One 10.0 FP2202 se a\u00f1ade la funcionalidad de aplicar un filtro por tipo de fichero para evitar que se suban ficheros con demasiado riesgo.<\/p>\n Por lo tanto, para disponer de una soluci\u00f3n a esta vulnerabilidad es necesario actualizar a la \u00faltima versi\u00f3n disponible.<\/p>\n En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n <\/p>\n