Saltar al contenido
Contáctenos
Chat en línea Chat fuera de línea
Converse con nosotros para comprar soluciones SAP.
Contáctenos
Envíenos un correo electrónico con comentarios, preguntas o críticas.
SAP Trust Center
Un escudo y una mano representando la confianza en el software de SAP

Configurar SAP Gateway y SAP Message Server de forma segura

SAP está consciente de los recientes informes sobre las vulnerabilidades de SAP Gateway y Message Server; sin embargo, han sido solucionadas por SAP unos años atrás.  Las notas sobre seguridad 821875, 1408081 y 1421005 publicadas en 2009 y 2013 protegerán al cliente en caso de vulnerabilidad. Como siempre, recomendamos a nuestros clientes que apliquen estas notas de seguridad inmediatamente y garanticen una configuración segura de su entorno de SAP.
 
SAP toma en serio la seguridad de los datos del cliente. Las recomendaciones publicadas en los documentos informativos "Practical Guide for Securing SAP Solutions" y "Securing Remote Function Calls (RFC)" enfatizan la configuración segura del entorno de SAP. Los clientes pueden habilitar las revisiones de seguridad relacionadas que se encuentran en EarlyWatch Alert (nota 863362) y en SAP Security Optimization Services Portfolio.
 
SAP representa soluciones de software seguras y confiables. Como líder global en software de negocios, SAP ha basado sus procesos de desarrollo en una estrategia de seguridad integral ("Prevenir – Detectar – Reaccionar") de toda la empresa que se basa en capacitaciones, herramientas y procesos para habilitar la entrega de productos y servicios seguros. 

Vulnerabilidades basadas en procesadores

A comienzos de 2018, con Spectre (y Meltdown) se publicó una nueva clase de vulnerabilidades. En los meses siguientes, se han descubierto y publicado nuevas variantes bajo el mismo seudónimo. La investigación continua y la publicación de nuevos ataques y vulnerabilidades sugieren que el tema seguirá siendo relevante en el futuro. El común denominador de estas vulnerabilidades es que son causadas principalmente por el diseño arquitectónico (hardware) del CPU, que afecta prácticamente a todos los chips de computadora fabricados en los últimos 20 años.
 
Estas vulnerabilidades, si se explotan, podrían permitir que los atacantes obtengan acceso a datos que antes se consideraban protegidos. A los posibles ataques se los denomina "ataques de canal lateral", en los que la velocidad de ejecución (timing) de ciertas operaciones podría dar lugar a la eliminación de contenidos de la memoria a los que normalmente no se puede acceder. Desde una perspectiva de seguridad, las preocupaciones incluyen el derribo de los límites dentro de los entornos virtualizados.
SAP investiga minuciosamente el impacto de estas vulnerabilidades y se está alineando estrechamente con los correspondientes vendedores, proveedores, y con la comunidad de Open Source. SAP trabaja en investigar si, dónde y cómo se encuentran afectadas nuestras plataformas, bases de datos, aplicaciones y operaciones en la nube.  
 
SAP está adoptando un enfoque proactivo y resolviendo fallas potenciales derivadas de ataques de canal lateral al hardware sin ningún retraso indebido. Puede encontrar más información sobre el progreso de nuestros parches para nuestros entornos en la nube aquí  (es necesario registrarse). Como consumidores de software y hardware afectados, dependemos en gran medida de la disponibilidad de los parches brindados por los respectivos vendedores, proveedores o por la comunidad de Open Source. El cronograma de aplicación de los parches adecuados se determina en gran medida según su  disponibilidad.
SAP recomienda que todos los clientes monitoreen con cuidado y sigan la recomendación de implementar los parches de seguridad brindados por los proveedores de hardware y sistemas operativos tan pronto estén disponibles. SAP resolverá fallas de su infraestructura en la nube sin retraso indebido. SAP Global Security monitorea la situación constantemente.
A cada variante se le dio su propio número CVE (actualizado el 6 de noviembre de 2018):

 

Cada una de estas variantes de vulnerabilidad puede explotarse para leer datos confidenciales, como la memoria del CPU o del kernel. El nivel de criticidad y el potencial de explotación difieren entre cada una de las variantes. 
 
Más información del proveedor sobre vulnerabilidades, recursos y respuestas de la seguridad antes mencionados:
Por favor, tenga en cuenta que SAP no es responsable del contenido de estos sitios externos.
Volver al inicio