SAP, en su comunicado de parches de seguridad correspondiente a diciembre, ha emitido un total de 10 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 4 de severidad crítica, 6 de severidad alta, 4 de severidad media y 1 de severidad baja.

Los recursos afectados son:

• SAP Business Client, versión 6.5;
• SAP Commerce, localization for China, versión 2001;
• SAP ABAP Server & ABAP Platform (Translation Tools), versiones 701, 740,750,751,752,753,754,755,756 y 804;
• SAP S/4HANA, versiones 1511, 1610, 1709, 1809, 1909, 2020 y 2021;
• SAP LT Replication Server, versiones 2.0 y 3.0;
• SAP LTRS for S/4HANA, versión 1.0;
• SAP Test Data Migration Server, versión 4.0;
• SAP Landscape Transformation, versión 2.0;
• SAP Commerce, versiones 1905, 2005, 2105 y 2011;
• SAP Knowledge Warehouse, versiones 7.30, 7.31, 7.40 y 7.50;
• SAP NetWeaver AS ABAP, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 756;
• SAP SuccessFactors Mobile Application (para Android), versiones <2108;
• SAF-T Framework, versiones SAP_FIN 617, 618, 720, 730, SAP_APPL 600, 602, 603, 604, 605, 606, S4CORE 102, 103, 104 y 105;
• SAP Commerce, versiones 1905, 2005, 2105 y 2011;
• SAP Web Dispatcher and Internet Communication Manager, versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82, 7.83, KERNEL 7.21, 7.22, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
• SAP 3D Visual Enterprise Viewer, versión 9;
• SAP UI, versiones 7.5, 7.51, 7.52, 7.53 y 7.54;
• SAP UI 700, versiones 2.0;
• SAP BusinessObjects Business Intelligence Platform, versión 420;
• SAP GRC Access Control, versiones V1100_700, V1100_731 y V1200_750.

Las notas de seguridad más destacadas se refieren a:

• Una vulnerabilidad de inyección de código en un informe de extracción de texto de las herramientas de traducción de SAP ABAP Server & ABAP Platform. La vulnerabilidad permite a un atacante con pocos privilegios ejecutar comandos arbitrarios en segundo plano. Se ha asignado el identificador CVE-2021-44231 para esta vulnerabilidad;
• El paquete de localización para China utiliza la biblioteca de código abierto XStream para serializar objetos a XML y viceversa, que podría provocar la ejecución de código en SAP Commerce. Se han asignado los identificadores: CVE-2021-21341, CVE-2021-21342, CVE-2021-21349, CVE-2021-21343, CVE-2021-21344, CVE-2021-21346, CVE-2021-21347, CVE-2021-21350, CVE-2021-21351, CVE-2021-21345 y CVE-2021-21348 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33683, CVE-2021-42068, CVE-2021-42070, CVE-2021-42069, CVE-2021-42069, CVE-2019-0388, CVE-2021-42061 y CVE-2021-44233.

Recomendaciones:

• Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Referencias:

• https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
• https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021
• https://onapsis.com/blog/sap-security-patch-day-december-2021-patch-day-shadow-log4j