12 marca 2024 r. firma SAP opublikowała zalecenia dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów. Uwzględniono aktualizacje krytyczne dla następujących elementów:

     Aplikacje SAP Build – wersje starsze niż 4.9.145

     SAP NetWeaver AS Java (wtyczka Administrator Log Viewer) – wersja 7.50

W tym miesiącu pojawiły się 2 nowe notatki HotNews. Notatka 2622660 została zaktualizowana dla Google Chromium i SAP Business Client. Ta notatka jest regularnie aktualizowana i tym razem dotyczy aktualizacji do CVSS 9.8, dla której dostępne są publiczne exploity.

CVE-2023-44487 – HTTP/2 Rapid Reset Attack

Od czasu do czasu na światło dzienne wychodzi luka, która może mieć potencjalny wpływ na wiele komponentów. To samo dotyczy tak zwanego „ataku szybkiego resetowania HTTP/2” skatalogowanego pod numerem „CVE-2023-44487”. Ci, którzy uważnie śledzą luki i łatki bezpieczeństwa SAP, mogli zauważyć tę lukę z 2023 r. i stycznia tego roku. Patrz uwagi SAP 3390068 i 3389917. Eksploatacja może prowadzić do odmowy usługi danego komponentu. Przykładami komponentów SAP, których dotyczy problem, są program Internet Communication Manager (ICM) i SAP Web Dispatcher. Może to również mieć wpływ na rozwiązania korzystające z tych komponentów, takie jak SAP HANA XS Classic i Advanced. W tym miesiącu opublikowano notę SAP 3410615, która dotyczy tych produktów specjalnie pod kątem tej luki.

LinkOpisKrytycznośćCVSS
2622660Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK Kategoria: Błąd programuKrytyczna10.0
3425274[CVE-2019-10744] Luka w zabezpieczeniach polegająca na wstrzykiwaniu kodu w aplikacjach zbudowanych przy użyciu SAP Build Apps Komponenty: CA-LCA-ACP Kategoria: Błąd programuKrytyczna9.4
3433192[CVE-2024-22127] Luka polegająca na wstrzykiwaniu kodu w SAP NetWeaver AS Java (wtyczka Administrator Log Viewer) Komponenty: BC-JAS-ADM-LOG Kategoria: Błąd programuKrytyczna9.1
3346500[CVE-2023-39439] Nieprawidłowe uwierzytelnienie w SAP Commerce Cloud Komponenty: CEC-SCC-PLA-PL Kategoria: Błąd programuWysoka8.8
3410615[CVE-2023-44487 ] Odmowa usługi (DOS) w SAP HANA XS Classic i HANA XS Advanced Komponenty: HAN-AS-XS Kategoria: Błąd programuWysoka7.5
3414195[CVE-2023-50164] Luka w zabezpieczeniach związana z przejściem ścieżki w platformie SAP BusinessObjects Business Intelligence (Centralna konsola zarządzania) Komponenty: BI-BIP-CMC Kategoria: Błąd programuWysoka7.2
3377979[CVE-2024-27902] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP NetWeaver AS ABAP, aplikacjach opartych na SAPGUI for HTML (WebGUI) Komponenty: BC-FES-WGU Kategoria: Błąd programuŚrednia5.4
3434192[CVE-2024-28163] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w integracji procesów SAP NetWeaver (strony internetowe pomocy technicznej) Komponenty: BC-XI-IBF-UI Kategoria: Błąd programuŚrednia5.3
3425682[CVE-2024-25644] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver (WSRM) Komponenty: BC-ESI-WS-JAV-RT Kategoria: Błąd programuŚrednia5.3
3428847[CVE-2024-25645] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver (Portal Enterprise) Komponenty: EP-PIN-APF-OPR Kategoria: Błąd programuŚrednia5.3
3417399[CVE-2024-22133] Niewłaściwa kontrola dostępu w serwerze front-end SAP Fiori Komponenty: PA-FIO-LEA Kategoria: Błąd programuŚrednia4.6
3419022[CVE-2024-27900]Brak kontroli autoryzacji w platformie SAP ABAP Komponenty: BC-SRV-APS-APJ Kategoria: Błąd programuŚrednia4.3