Quelles sont les conséquences potentielles de la faille de sécurité LOG4J/LOG4SHELL sur les installations SAP Business One ?

Le 9 décembre dernier, une faille de sécurité importante identifiée sous le code CVE-2021-44228, a été découverte dans la librairie Open Source Log4j utilisée par des millions d’applications Java exécutées sur des serveurs web Apache.

 

Le cœur de SAP Business One n’utilise pas ces composants (application + base de données). 

 

En revanche, plusieurs services et applications complémentaires fournis par SAP pour SAP Business One utilisent cette technologie.

 

Les installations SAP Business One pour lesquelles ces applications et services sont actifs ET accessibles depuis l’extérieur (et ce, malgré le certificat SSL) sont potentiellement les plus exposés à ce risque. Dans le cas où le réseau local serait infecté par virus de type « cheval de troie », alors ces applications et services seraient également exposés à ce risque.

 

Il s’agit :

  • Du service SLD (Server Landscape Directory) utilisé pour la connexion des applications mobiles,
  • Du service d’API Service Layer, utilisé par les applications sur mobiles iOs et Android SAP Business One Mobile Sales et SAP Business One Mobile Services ainsi que par le client web,
  • Du middleware SAP Business One Integration Framework utilisé par l’application mobile SAP Business One standard et pour le traitement sous forme de web services de flux EDI entrants ou sortants,
  • Des composants serveur de l’application de point de vente SAP Customer Checkout.

SAP nous a informés que les services SAP Business Object, BI Platform ne sont pas impactés et nous a fourni une note pour sécuriser SAP Customer Checkout.

 

Bien que nous n’ayons pas à ce stade de précisions de l’éditeur quant à leur éventuelle vulnérabilité, et les moyens de la corriger, pour les 3 premiers services de la liste ci-dessus, OPTI-ONE vous recommande, par prudence, de ne plus exposer ces services sur le web (fermer les ports et redirections, depuis l’extérieur, vers ces outils) pour le moment.

 

Les ports concernés sont (en standard) : 40000 et 40001, 50000 à 50099, 8080, 8443.

 

Sans attendre le retour de SAP, nous avons réalisé des tests et validé d’une procédure alternative de sécurisation afin de vous permettre de réactiver au plus vite les flux de données concernés par ce problème. Nous n’avons pas, à ce stade, détecté d’effet de Bord suite à cette modification, et les services impactés sont à nouveau opérationnels.

 

Concernant les clients hébergés dans le Cloud public de SAP, l’éditeur nous a informé travailler activement à la sécurisation des installations clients, avec des opérations de maintenance dès le 15 décembre au soir.

 

Nos équipes techniques sont à votre entière disposition pour assurer la mise en œuvre de ce correctif de sécurité ou répondre à vos questions sur ce problème.

 

Pour nous contacter :
 

Écrire commentaire

Commentaires: 0