Home / Node / Boletín de INCIBE-CERT del 09-02-2022

Boletín de INCIBE-CERT del 09-02-2022

[Actualización 10/02/2022] Actualización de seguridad de SAP de febrero de 2022

Publication date: 
02/09/2022
Importance: 
5 - Crítica
Affected resources: 
  • SAP Web Dispatcher: versiones - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87;
  • SAP Content Server, versión - 7.53;
  • SAP NetWeaver y ABAP Platform: versiones - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
  • SAP Commerce: versiones - 1905, 2005, 2105 y 2011;
  • SAP Data Intelligence, versión - 3;
  • SAP Dynamic Authorization Management, versión - 9.1.0.0, 2021.03;
  • Internet of Things Edge Platform, versión - 4.0;
  • SAP Customer Checkout, versión - 2;
  • SAP Business Client, versión – 6.5;
  • SAP Solution Manager (Diagnostics Root Cause Analysis Tools), versión - 720;
  • SAP S/4HANA: versiones - 100, 101, 102, 103, 104, 105 y 106;
  • SAP NetWeaver Application Server Java: versiones - KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 y 7.53;
  • SAP NetWeaver AS ABAP (Workplace Server): versiones - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 787;
  • SAP NetWeaver (ABAP y Java application Servers): versiones - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 756;
  • SAP ERP HCM (Portugal): versiones - 600, 604, y 608;
  • SAP Business Objects Web Intelligence (BI Launchpad) , versión - 420;
  • SAP 3D Visual Enterprise Viewer , versión - 9.0;
  • SAP Adaptive Server Enterprise , versión - 16.0;
  • SAP S/4HANA (Supplier Factsheet y Enterprise Search para Business Partner, Supplier y Customer)  : versiones - 104, 105 y 106;
  • SAP NetWeaver Application Server para ABAP (Kernel) y ABAP Platform (Kernel) : versiones - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49.
Description: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solution: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detail: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de ellas fuera de ciclo y 5 actualizaciones de notas anteriores, siendo 9 de severidad crítica, 3 de severidad alta, 6 de severidad media y 1 de severidad baja.

Los tipos de vulnerabilidades crítica y altas publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de contrabando de solicitudes (request smuggling) y request concatenation. Se han asignado los identificadores CVE-2022-22536 y CVE-2022-22532 para estas vulnerabilidades;
  • 6 vulnerabilidades de ejecución remota de código asociada a Apache Log4j2. Se han asignado los identificadores CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 y CVE-2021-44228 relacionados con estas vulnerabilidades;
  • Falta de segregación de funciones en SAP Solution Manager Diagnostics Root Cause Analysis Tools. Se ha asignado el identificador CVE-2022-22544 para esta vulnerabilidad;
  • 1 vulnerabilidad de inyección SQL. Se ha asignado el identificador CVE-2022-22540 para esta vulnerabilidad.

Las notas de seguridad más destacadas se refieren a:

  • Vulnerabilidades de ejecución remota de código asociada a Apache Log4j2.
  • Actualizaciones de seguridad para el control del navegador Google Chromium.
  • Múltiples vulnerabilidades en la aplicación F0743 Create Single Payment de SAP S/4HANA.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-22534, CVE-2022-22535, CVE-2022-22546, CVE-2022-22537, CVE-2022-22539, CVE-2022-22538, CVE-2022-22528, CVE-2022-22542 y CVE-2022-22543.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de febrero de 2022

Publication date: 
02/09/2022
Importance: 
4 - Alta
Affected resources: 
  • Azure Data Explorer,
  • Kestrel Web Server,
  • Microsoft Dynamics,
  • Microsoft Dynamics GP,
  • Microsoft Edge (basado en Chromium),
  • Microsoft Office,
  • Microsoft Office Excel,
  • Microsoft Office Outlook,
  • Microsoft Office SharePoint,
  • Microsoft Office Visio,
  • Microsoft OneDrive,
  • Microsoft Teams,
  • Microsoft Windows Codecs Library,
  • Power BI,
  • Roaming Security Rights Management Services,
  • Role: DNS Server,
  • Role: Windows Hyper-V,
  • SQL Server,
  • Visual Studio Code,
  • Windows Common Log File System Driver,
  • Windows DWM Core Library,
  • Windows Kernel,
  • Windows Kernel-Mode Drivers,
  • Windows Named Pipe File System,
  • Windows Print Spooler Components,
  • Windows Remote Access Connection Manager,
  • Windows Remote Procedure Call Runtime,
  • Windows User Account Profile,
  • Windows Win32K.
Description: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de febrero, y que incluye toda la información comprendida entre el día 12/01/2022 y el día 08/02/2022 con la publicación del boletín de este mes, consta de 94 vulnerabilidades (con CVE asignado) y 0 avisos de seguridad (con ADV asignado), todos ellos calificados como: 51 de severidad alta, 2 de severidad media y 41 sin severidad asignada.

Solution: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detail: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • elusión de medidas de seguridad,
  • suplantación de identidad (spoofing),
  • modificación de los parámetros que se envían al servidor web como puntos de entrada de la aplicación (tampering).

Encuesta valoración