[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2022\/03\/Firma-12-1.png” alt=”cloud-public” title_text=”Firma-12-1″ admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” hover_enabled=”0″ global_colors_info=”{}” sticky_enabled=”0″][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|hover” sticky_enabled=”0″]<\/p>\n
Este\u00a0Security Patch Day incluye 4 Hot News<\/strong>, es decir, novedades relativas a la seguridad con la prioridad m\u00e1s alta posible. Nuevamente\u00a0vemos como SAP contin\u00faa mejorando su respuesta frente a la vulnerabilidad Log4j,\u00a0<\/strong>actualizando la nota central\u00a03131047\u00a0<\/strong>con las nuevas soluciones. En este art\u00edculo analizaremos y explicaremos de manera sencilla las \u00faltimas notas de seguridad publicadas.<\/p>\n En cuanto al an\u00e1lisis cuantitativo de las notas publicadas en este security patch day,\u00a0se han liberado un total de 16 notas de seguridad<\/strong>, de las cuales\u00a05 son de prioridad alta<\/strong>, con una puntuaci\u00f3n\u00a0CVSS superior a 7.\u00a0<\/strong>De las cuales 4 son actualizaciones de notas de seguridad ya publicadas.<\/p>\n A continuaci\u00f3n, analizaremos estas 5 notas:<\/strong><\/p>\n [Update][<\/strong>CVE-2022-22536<\/strong><\/a>] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher<\/strong><\/p>\n C\u00f3mo adelant\u00e1bamos el mes pasado en el\u00a0SAP security patch day de febrero<\/strong><\/a>\u00a0se trata de una importante vulnerabilidad por la que\u00a0SAP Netweaver en sus versiones JAVA y ABAP, SAP Content Server y SAP Web Dispatcher<\/strong>\u00a0pueden ver completamente comprometida su confidencialidad integridad y disponibilidad del sistema.<\/p>\n La nota 3123396 ha sido actualizada con aclaraciones en los textos de prerrequisitos y soluci\u00f3n.<\/p>\n Puedes encontrar el an\u00e1lisis completo que hemos realizado sobre esta nota en la siguiente entrada del blog:<\/p>\n Vulnerabilidad en SAP web dispatcher y SAP GW [CVE-2022-22536]<\/strong><\/a><\/p>\n 3131047 \u2013 [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component<\/strong><\/p>\n La nota central para recopilar toda la informaci\u00f3n relativa a la vulnerabilidad Log4j y ver c\u00f3mo SAP progresa mejorando las soluciones que aporta frente a esta vulnerabilidad ha sido actualizada incluyendo la nota 3154684 que analizamos a continuaci\u00f3n.<\/p>\n Previsiblemente,\u00a0SAP continuar\u00e1 trabajando en mejorar su respuesta a la vulnerabilidad Log4j<\/strong>\u00a0y en los pr\u00f3ximos meses ir\u00e1 actualizando esta nota con sus nuevas soluciones.<\/p>\n 3154684 \u2013 [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Work Manager<\/strong><\/p>\n La nota 3154684 incluye la soluci\u00f3n frente a la vulnerabilidad Log4j que ocurre en SAP\u00a0Work Manager.<\/strong><\/p>\n SAP indica que la mejor soluci\u00f3n es actualizar a\u00a0SAP Work Manager 6.6.1 y\/o SAP Inventory Manager 4.4.1\u00a0<\/strong>que incluyen las nuevas librer\u00edas con la vulnerabilidad Log4j cubierta.<\/p>\n Adicionalmente aporta un workaround, con el que solventar la vulnerabilidad r\u00e1pidamente, consistente en actualizar los ficheros de la librer\u00eda log4j y publicar la aplicaci\u00f3n desde el SMP cockpit. De todas formas,\u00a0SAP recomienda actualizar a las \u00faltimas versiones de SAP Work Manager y SAP Inventory Manager.<\/strong><\/p>\n 3145987 \u2013 [CVE-2022-24396] Missing Authentication check in SAP Focused Run (Simple Diagnostics Agent 1.0)<\/strong><\/p>\n Vulnerabilidad en el Diagnostic Agent 1.0 (hasta la versi\u00f3n 1.57.*) ya que no se realizan chequeos de autenticaci\u00f3n para funcionalidades que pueden ser usadas v\u00eda localhost en el puerto 3005.<\/p>\n Debido a esta falta de chequeos de autorizaci\u00f3n un atacante podr\u00eda acceder a datos administrativos o funcionalidades con privilegios y leer modificar o borrar informaci\u00f3n sensible.<\/p>\n La soluci\u00f3n consiste en\u00a0actualizar el diagnostic agent a la versi\u00f3n 1.58.0 o posterior.<\/strong><\/p>\n 3149805 \u2013 [CVE-2022-26101] Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad<\/strong><\/p>\n Importante vulnerabilidad por la que un atacante no autenticado puede realizar un ataque XSS sobre la aplicaci\u00f3n SAP Fiori launchpad, pudiendo llegar a comprometer la confidencialidad e integridad de la aplicaci\u00f3n.<\/p>\n La soluci\u00f3n propuesta por SAP consiste en actualizar el componente SAP_UI a la \u00faltima versi\u00f3n, aplica para SAP_BASIS 787 y las versiones de SAP_UI 754, 755, 756. Con esta actualizaci\u00f3n se los par\u00e1metros URL son cifrados y previenen los ataques XSS.<\/p>\n En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:<\/strong><\/p>\n <\/p>\n Este mes\u00a0SAP ha liberado 16 notas de seguridad de las cuales 5 tienen una puntuaci\u00f3n CVSS por encima de 9.<\/strong><\/p>\n <\/p>\n El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:<\/strong><\/p>\n <\/p>\n La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar m\u00faltiples vulnerabilidades.<\/strong><\/p>\n Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la \u00faltima actualizaci\u00f3n de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.<\/strong>\u00a0Si tienes alguna duda\u00a0contacta con nosotros<\/strong>\u00a0o d\u00e9jala en los comentarios.<\/p>\n Fuentes:<\/strong><\/p>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2022\/03\/SPM-1.png\")
<\/div>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2022\/03\/SPM-2.png\")
<\/div>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2022\/03\/SPM-3.png\")
<\/div>\n