Durante las últimas semanas del año, suelo revisar mis herramientas para hacer un trabajo de limpieza y compilar una revisión anual. Cuando lo hice, recordé una vulnerabilidad de seguridad que mantuvo ocupado a todo el mundo de TI en diciembre de 2021 y principios de 2022. Ahora que han pasado algunos meses, pensé que valdría la pena resumir la estrategia, las herramientas y los procesos que se utilizan para aborde las vulnerabilidades de seguridad con SAP NetWeaver e IBM Db2.
Mientras compilaba esta publicación de blog, también me di cuenta de que algunas versiones de IBM Db2 dejarán de estar en mantenimiento para fines de 2022. Por lo tanto, también comparto esta información con ustedes.
Si consulta la documentación de IBM para las fechas de fin de soporte para IBM Db2, encontrará que las versiones de IBM Db2 9.7. y 10.1 ya han estado fuera de mantenimiento extendido desde septiembre de 2020. Sin embargo, también encontrará un especial Nota técnica de IBM para los clientes de SAP que apunta a Nota de SAP 1168456: DB6: proceso de soporte y fechas de finalización del soporte para IBM Db2 LUW.
De acuerdo con esta nota de SAP, el soporte para los sistemas SAP que se ejecutan en las versiones 9.7 y 10.1 de IBM Db2 vencerá el 31 de diciembre de 2022. Entonces, es hora de prepararse para actualizar su base de datos a una versión más reciente. Esto requerirá algo de planificación y verificación de la matriz de disponibilidad de productos de SAP (PAM) para una combinación válida de sistema operativo y versiones de IBM Db2. Si no puede completar la planificación o encontrar una buena ventana de tiempo de inactividad para la actualización, debe planificar esto lo antes posible a principios de 2023. El equipo de soporte de IBM Db2 para SAP no se negará a trabajar en problemas críticos, pero una solución para estos problemas pueden requerir que actualice a las versiones más nuevas de IBM Db2 disponibles. Lo que no estará disponible son las correcciones de seguridad necesarias para los problemas de Log4j.
En diciembre de 2021 y principios de 2022, las vulnerabilidades de seguridad de Apache Log4j provocaron muchas discusiones y actividades en el mundo de TI. Db2 se vio parcialmente afectado, por ejemplo, cuando se utilizaron algunas características especiales de federación o búsqueda de texto. Mientras respondía las preguntas y hablaba con los clientes sobre el impacto de las vulnerabilidades, me vino a la mente una capacidad de SAP DBA Cockpit que podría ayudar a aclarar las preguntas sobre las vulnerabilidades de seguridad en IBM Db2 y cómo se abordan.
Antes de hablar sobre SAP DBA Cockpit, primero recapitulemos algunos de los conceptos básicos sobre las vulnerabilidades de seguridad. El Equipo de Respuesta a Incidentes de Seguridad de Productos de IBM (PSIRT) se dedica a gestionar posibles vulnerabilidades de seguridad de IBM de las que informan clientes de IBM, investigadores de seguridad, grupos industriales, organizaciones gubernamentales o proveedores. Si desea obtener detalles o suscribirse a boletines de seguridad por correo, fuente RSS o blog, consulte este sitio web de IBM: PSIRT de IBM | Centro de confianza de IBM.
Los equipos de desarrollo de IBM Db2 interactúan con el Equipo de respuesta a incidentes de seguridad del producto y tienen miembros del equipo dedicados que verifican las posibles vulnerabilidades informadas y proporcionan cambios de código para abordar los problemas de seguridad.
El Equipo de respuesta a incidentes de seguridad de productos publica boletines de seguridad de IBM que contienen información sobre CVE (vulnerabilidades y exposiciones comunes) y CVSS (sistema de puntuación de vulnerabilidades comunes).
Las vulnerabilidades de seguridad se clasifican en función de su puntuación CVSS y van desde la gravedad 4 o baja con una puntuación CVSS de 0,0 a 3,9 hasta la gravedad 1 o crítica con una puntuación de 9,0 a 10,0. Junto con la clasificación, se define un cronograma de remediación, es decir, la cantidad de días que debe estar disponible una mitigación de vulnerabilidad de seguridad, por ejemplo, 90 días en el caso de un hilo que se define como alto.
Si desea conocer detalles sobre cómo se calcula el CVSS y si desea crear su propio ejemplo de CVSS, consulte NVD – Calculadora CVSS v3 (nist.gov).
Ahora, volvamos a la función Cockpit de administración de base de datos de SAP (DBA) que quiero presentar en esta publicación de blog: la capacidad denominada verificación de nivel de IBM Db2 Fix Pack. Esta verificación en SAP DBA Cockpit tiene dos características principales. Primero, la verificación puede validar si el sistema se ejecuta en un nivel certificado por SAP de IBM Db2.
En segundo lugar, la verificación del nivel de IBM Db2 Fix Pack puede mostrar qué Fix Packs certificados por SAP están disponibles para la versión instalada actual de IBM Db2. En el siguiente ejemplo, el sistema se ejecuta en IBM Db2 10.5 Fix Pack 11. Para este nivel de Fix Pack, un total de 10 Fix Packs o compilaciones especiales de seguridad están certificados por SAP y están disponibles para su descarga. La verificación del nivel de IBM Db2 Fix Pack enumera el CVE incluido en los fix packs disponibles y proporciona algunas recomendaciones más, por ejemplo, recomendaciones para actualizar a una versión más nueva de Db2.
Con esta información, puede explorar más fácilmente qué vulnerabilidades de seguridad se corrigen en un determinado fixpack de IBM Db2 y evaluar si se requiere una actualización.
Además, esta pantalla también verifica si el nivel de software comprometido es idéntico al nivel de software instalado de su base de datos. Tal discrepancia puede ocurrir si ha actualizado el software de su base de datos pero no ha ejecutado el script de shell db6_update_db en la línea de comandos del sistema operativo como se describe en Nota de SAP 1365982: DB6: secuencia de comandos «db6_update_db/db6_update_client» actual
La comprobación del nivel de IBM Db2 Fix Pack se basa en Nota de SAP 101809: DB6: Versiones de Db2 y niveles de fixpack admitidos. Esta nota de SAP se cambió a una estructura legible por máquina y se puede descargar a su sistema basado en SAP NetWeaver. Para habilitar la descarga de esta Nota SAP, primero implemente Nota SAP 2857949: descarga de la nota SAP sin guardarla (para DBA Cockpit).
La verificación de nivel de IBM Db2 Fix Pack se puede implementar con las instrucciones de corrección en la Nota de SAP 2989894 y también forma parte de los paquetes de soporte de SAP, por ejemplo, el paquete de soporte 26 para SAP Basis 7.40. Para obtener detalles sobre los paquetes de soporte necesarios, consulte Nota de SAP 2989894: DB6: DBA Cockpit: comprobación de nivel de fixpack de Db2.
Como sabrá, los fixpacks de IBM Db2 están certificados por SAP antes de que se lancen para los clientes de SAP. La verificación de SAP para un Fix Pack de IBM Db2 es un conjunto integral de pruebas, y esto lleva algún tiempo. Sin embargo, cuando existe una vulnerabilidad de seguridad, se requiere una certificación rápida. Para acelerar el proceso de certificación, en 2020 se optimizó la interacción entre SAP e IBM.
Antes de 2020, el proceso de certificación de SAP para compilaciones especiales de seguridad comenzaba tan pronto como IBM publicaba la compilación. Ahora, el proceso de certificación de SAP se ejecuta en paralelo con el ciclo de prueba final de IBM. Este pequeño pero eficiente cambio en el proceso es posible gracias a pruebas adicionales durante la verificación de IBM Db2 Fix Pack, lo que permite una certificación más rápida de las compilaciones de IBM Db2 por parte de SAP. El objetivo es tener correcciones de seguridad de IBM Db2 para la versión 11.5 de IBM Db2 más reciente certificada por SAP dentro de las dos semanas posteriores a su publicación por parte de IBM. Las versiones posteriores (Db2 11.1 y 10.5) pueden tardar un poco más. Las correcciones para las versiones 9.7 y 10.1 de Db2 ya no están disponibles debido a que estas versiones de IBM Db2 están fuera de mantenimiento a fines de 2022.
También puede preguntarse si una determinada vulnerabilidad de seguridad afecta a las aplicaciones de SAP y si debe implementar una solución. Por ejemplo, si una vulnerabilidad de seguridad usa una funcionalidad como tablas de consultas materializadas que no son compatibles con SAP, es posible que la solución no sea relevante para los clientes de SAP. Dada la frecuencia de las compilaciones especiales de seguridad, la amplia gama de aplicaciones y las diferentes implementaciones, es casi imposible validar cada problema de seguridad y daría lugar a un número cada vez mayor de compilaciones de seguridad de IBM Db2 específicas de SAP. Por lo tanto, SAP certifica compilaciones especiales de seguridad de IBM Db2 independientemente de los componentes que estén sujetos a una vulnerabilidad de seguridad publicada.
El equipo de desarrollo de IBM Db2/SAP continuará evaluando el impacto de las vulnerabilidades de seguridad y publicará una nota de seguridad de SAP o SAP HotNews si es necesario.
Con la verificación de nivel de IBM Db2 Fix Pack, la completa nota SAP 101809 con detalles sobre IBM Db2 Fix Packs y la integración optimizada de los procesos de certificación y desarrollo de IBM y SAP, ahora existe un proceso más oportuno y conveniente contra las vulnerabilidades de seguridad para SAP. Sistemas basados en NetWeaver sobre IBM Db2.
Pero no olvide: si está ejecutando un sistema basado en SAP NetWeaver en IBM Db2 versión 9.7 o 10.1, prepárese para una actualización lo antes posible y consulte la Nota de SAP 1168456 para conocer las fechas de fin de servicio de IBM Db2.
Únete a nuestro página de la comunidad para mantenerse actualizado y no dude en compartir sus comentarios o sugerencias aquí en el blog o publicar y responder preguntas sobre IBM Db2 y SAP NetWeaver aquí.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073