Business Connector (BC) es una herramienta “middleware” de integración que permite a los clientes SAP la comunicación con otros clientes y emplazamientos “marketplace” SAP. La integración proporcionada por BC permite la conexión con R/3 a través de tecnología abierta y no propietaria, usando para ello Internet como medio de comunicación y XML/HTML como lenguajes de contacto entre las plataformas a interconectar.
La tecnología XML de SAP BC permite encapsular metadatos en “sobres” que contienen la información a enviar. Estos metadatos permiten enrutar los mensajes adecuadamente, empleándose para el encapsulado de formatos populares en entornos empresariales, como Microsoft BizTalk y un formato similar a SOAP (Simple Object Access Protocol) para comunicación con plataformas que no operen con BizTalk. SAP tiene sus propias extensiones XML, alineadas con los estándares, para la comunicación interplataforma mediante mensajes xCBL (XML Commerce Business Language). Las dos extensiones XML de SAP son IDoc-XML y BAPI-XML.
Los problemas documentados por el equipo de CYBSEC, encabezado por Leandro Meiners, son de una criticidad moderada, y permitirían, de un modo remoto, ejecutar ataques spoofing y de manipulación de datos en sistemas no actualizados. Los problemas documentados resumen información sobre la lectura y el borrado arbitrario de ficheros en SAP BC 4.6 y SAP BC 4.7, así como la existencia de un vector de phishing en SAP BC Core Fix 7 y versiones anteriores. Nótese que SAP BC corre con privilegios de administrador en plataformas Microsoft Windows, y como root en entornos UNIX por defecto, lo que hace imperativo un control exhaustivo de las plataformas BC. Para este último caso, según el código de buenas prácticas del fabricante, es recomendable ejecutar BC como usuario no administrativo, usando un puerto elevado, siendo posible el mapeado interno a otros puertos más restringidos.
Los detalles técnicos sobre los problemas hallados serán publicados tres meses después de la emisión de estos preavisos, tras acordarse con SAP la no revelación de dichos datos para salvaguardar la integridad de los clientes hasta que completen el proceso de actualización.
El fabricante ha puesto a disposición de los usuarios parches que corrigen el problema. Los administradores SAP deben seguir las instrucciones impartidas por el fabricante en sus boletines 906401 y 908349, empleando para ello el soporte a clientes que la compañía ofrece.
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las amenazas surgidas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…