[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2022\/01\/Firma-1.png” alt=”cloud-public” title_text=”Firma-1″ admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|hover” sticky_enabled=”0″]<\/p>\n
Comienza el a\u00f1o y SAP publica un nuevo\u00a0SAP Security Patch Day<\/strong>. Publicaci\u00f3n en la que resumen las\u00a0\u00faltimas novedades relativas a la seguridad<\/strong>\u00a0de sus productos, que en este art\u00edculo analizaremos y explicaremos de manera sencilla.<\/p>\n En cuanto al an\u00e1lisis cuantitativo de las notas publicadas en este Security Patch Day,\u00a0se han liberado un total de 9 notas de seguridad<\/strong>, de las cuales\u00a03 son de prioridad alta<\/strong>, con una puntuaci\u00f3n CVSS superior a 7. De las cuales 3 son actualizaciones de notas de seguridad ya publicadas.<\/p>\n A continuaci\u00f3n, analizaremos estas 3 notas:<\/strong><\/p>\n [CVE-2021-44228<\/a>]\u00a0Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component<\/strong><\/p>\n SAP ha publicado la nota 3131047, nota con la puntuaci\u00f3n m\u00e1s alta posible, ya que recopila todas las notas que tratan la vulnerabilidad Log4j2 para los diferentes productos de SAP que se han visto afectados.<\/strong><\/p>\n La vulnerabilidad Log4j2 es la vulnerabilidad con m\u00e1s impacto y difusi\u00f3n en los medios de todo 2021, y no es para menos ya que ha afectado a gran cantidad de sistemas a lo largo de todo el mundo. Tanto es as\u00ed que recientemente SAP a publicado una respuesta oficial en la que lista su software afectado por la vulnerabilidad, el que no lo est\u00e1 y el que est\u00e1 siendo parcheado. Estas listas se pueden consultar en el siguiente enlace:<\/strong><\/p>\n https:\/\/support.sap.com\/content\/dam\/support\/en_us\/library\/ssp\/my-support\/trust-center\/sap-tc-01-5025.pdf<\/a><\/p>\n Recomendamos consultar el listado oficial anterior y consultar la nota 3131047 para comprobar si debemos aplicar alguna correcci\u00f3n en nuestros sistemas. Tan actual es esta vulnerabilidad que SAP indica que esta nota seguir\u00e1 actualiz\u00e1ndose para recopilar toda la informaci\u00f3n nueva.<\/strong><\/p>\n Respuesta oficial de SAP a la vulnerabilidad Log4j<\/em><\/strong> [CVE-2022-22531<\/a>]\u00a0Multiple vulnerabilities in F0743 Create Single Payment application of SAP S\/4HANA<\/strong><\/p>\n La nota 3112928 recopila dos vulnerabilidades identificadas en SAP S\/4HANA por las que la aplicaci\u00f3n F0743 no comprueba los ficheros subidos o descargados.<\/p>\n Al no ser verificados estos ficheros, se generan las siguientes vulnerabilidades en la aplicaci\u00f3n:\u00a0CVE-2022-22531<\/strong><\/a>\u00a0por la que un atacante con permisos b\u00e1sicos podr\u00eda ejecutar scripts maliciosos y resultar en el acceso a informaci\u00f3n sensible o modificarla,\u00a0CVE-2022-22530<\/strong><\/a>vulnerabilidad de inyecci\u00f3n de c\u00f3digo malicioso por la que se podr\u00eda modificar informaci\u00f3n cr\u00edtica o comprometer la disponibilidad de la aplicaci\u00f3n.<\/p>\n Afecta a las versiones 100, 101, 102, 103, 104, 105 y 106 de SAP S\/4 HANA.<\/p>\n La soluci\u00f3n propuesta por SAP es implementar el uso del VSI (Virus scanner Interface) para analizar los ficheros antes de procesarlos. Para que esta soluci\u00f3n funcione es necesario disponer de un software antivirus instalado, configurado y habilitado.<\/p>\n [CVE-2021-44235<\/a>]\u00a0[Update]<\/strong>\u00a0Code Injection vulnerability in utility class for SAP NetWeaver AS ABAP<\/strong><\/p>\n Actualizaci\u00f3n de la nota 3123196 donde se resuelve una vulnerabilidad por la que dos m\u00e9todos de clase en ABAP, permitir\u00edan a un usuario con privilegios inyectar c\u00f3digo malicioso y ejecutarlo mediante la transacci\u00f3n SE24.<\/p>\n Pudiendo impactar en la confidencialidad integridad y disponibilidad del sistema.<\/p>\n La nota ha sido actualizada con las versiones de SAP_BASIS afectadas. SAP especifica los permisos necesarios para ejecutar esta vulnerabilidad, por lo que si no hay usuarios con esos permisos no es necesario actuar.<\/p>\n En cambio, si tenemos desarrolladores con los permisos especificados, deberemos implementar la soluci\u00f3n de la nota 3123196. En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:<\/strong><\/p>\n Comenzamos a\u00f1o y estrenamos listas de las notas de seguridad liberadas por SAP. Este mes SAP a liberado 9 notas de seguridad de las cuales 1 tiene una puntuaci\u00f3n CVSS por encima de 9 y 3 por encima de 7.<\/p>\n El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:<\/strong><\/p>\n La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar m\u00faltiples vulnerabilidades.<\/strong><\/p>\n Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la \u00faltima actualizaci\u00f3n de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.<\/strong><\/p>\n Fuentes:<\/strong><\/p>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2022\/01\/image001.png\")
<\/div>\n
<\/strong><\/p>\n
<\/strong><\/p>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2022\/01\/image003.png\")
<\/div>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2022\/01\/image005.png\")
<\/div>\n![\"\"](\"https:\/\/orekait.com\/wp-content\/uploads\/2022\/01\/image007.png\")
<\/div>\n