Le 9 décembre dernier, une faille de sécurité importante identifiée sous le code CVE-2021-44228, a été découverte dans la librairie Open Source
Log4j utilisée par des
millions d’applications Java exécutées sur des serveurs web Apache.
Le cœur de SAP Business One n’utilise pas ces composants (application + base de données).
En revanche, plusieurs services et applications complémentaires fournis par SAP pour SAP Business One utilisent cette technologie.
Les installations SAP Business One pour lesquelles ces applications et services sont actifs ET accessibles depuis l’extérieur (et ce, malgré le certificat SSL)
sont potentiellement les plus exposés à ce risque. Dans le cas où le réseau local serait infecté par virus de type « cheval de troie », alors ces applications et
services seraient également exposés à ce risque.
Il s’agit :
- Du service SLD (Server Landscape Directory) utilisé pour la connexion des applications mobiles,
- Du service d’API Service Layer, utilisé par les applications sur mobiles iOs et Android SAP Business One Mobile Sales et SAP Business One Mobile Services ainsi
que par le client web,
- Du middleware SAP Business One Integration Framework utilisé par l’application mobile SAP Business One standard et pour le traitement sous forme de web services
de flux EDI entrants ou sortants,
- Des composants serveur de l’application de point de vente SAP Customer Checkout.
SAP nous a informés que les services SAP Business Object, BI Platform ne sont pas impactés et nous a fourni une note pour sécuriser SAP Customer Checkout.
Bien que nous n’ayons pas à ce stade de précisions de l’éditeur quant à leur éventuelle vulnérabilité, et les moyens de la corriger, pour les 3 premiers services de la liste
ci-dessus, OPTI-ONE vous recommande, par prudence, de ne plus exposer ces services sur le web (fermer les ports et redirections, depuis l’extérieur, vers ces outils)
pour le moment.
Les ports concernés sont (en standard) : 40000 et 40001, 50000 à 50099, 8080, 8443.
Sans attendre le retour de SAP, nous avons réalisé des tests et validé d’une procédure alternative de sécurisation afin de vous permettre de réactiver au plus vite les flux de
données concernés par ce problème. Nous n’avons pas, à ce stade, détecté d’effet de Bord suite à cette modification, et les services impactés sont à nouveau opérationnels.
Concernant les clients hébergés dans le Cloud public de SAP, l’éditeur nous a informé travailler activement à la sécurisation des installations clients, avec des opérations de
maintenance dès le 15 décembre au soir.
Nos équipes techniques sont à votre entière disposition pour assurer la mise en œuvre de ce correctif de sécurité ou répondre à vos questions sur ce problème.
Pour nous contacter :
Écrire commentaire