Firma SAP publikuje aktualizacje bezpieczeństwa 02/2023

cert.pse-online.pl 1 rok temu

14 lutego 2023 r. firma SAP udostępniła comiesięczne poprawki do produktów, które mają istotne implikacje w zakresie bezpieczeństwa dla swoich klientów.

  • SNotatka 20622600, zatytułowana „Aktualizacje zabezpieczeń dla kontroli przeglądarki Google Chromium dostarczane z SAP Business Client”, usuwa lukę w zabezpieczeniach z wynikiem CVSS 10,0. Google Chrome w SAP Business Client otrzymuje comiesięczne aktualizacje. Jednak ocena luk w zabezpieczeniach jest często wysoka, dlatego nie należy lekceważyć związanego z nimi ryzyka. W zależności od wrażliwości danych przetwarzanych przez aplikację, poprawka powinna zostać zainstalowana niezwłocznie.
  • Notatka SNota 3271091, zatytułowana „Luka w zabezpieczeniach związana z eskalacją uprawnień w rozwiązaniu SAP Business Planning and Consolidation”, dotyczy luki w zabezpieczeniach z oceną CVSS 8,5. Łatka została zaktualizowana i dostępna jest wersja 6. Złośliwy użytkownik może wykonać funkcję nieautoryzowanej transakcji. W określonych okolicznościach udany atak może umożliwić przeciwnikowi zwiększenie uprawnień w celu odczytania, zmiany lub usunięcia danych systemowych.
  • Notatka SNote 3256787, zatytułowana „Nieograniczone przesyłanie plików w SAP BusinessObjects Business Intelligence Platform”, dotyczy luki w zabezpieczeniach z wynikiem CVSS 8,4. Do wykorzystania tej luki można używać tylko uwierzytelnionych i uprzywilejowanych kont. Jednak po udanym wykorzystaniu atakujący może wykonać operacje, które mogą całkowicie zagrozić aplikacji, powodując duży wpływ na poufność, integralność i dostępność aplikacji.
  • Notatka SNote 3285757, zatytułowana „Luka w zabezpieczeniach związana z eskalacją uprawnień w agencie hosta SAP (usługa startowa)”, usuwa lukę w zabezpieczeniach z oceną CVSS 8,8. Użytkownik niebędący administratorem z lokalnym dostępem do portu serwera przypisanego do usługi SAP Host Agent Service może wykonać polecenie systemu operacyjnego z uprawnieniami administratora, przesyłając specjalnie spreparowane żądanie usługi internetowej. To polecenie może uzyskiwać dostęp i modyfikować dane użytkownika i systemu, potencjalnie powodując awarię systemu.
  • Notatka SNota 3263135, zatytułowana „Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence”, usuwa lukę w zabezpieczeniach z oceną CVSS 8,5. Uwierzytelniona osoba atakująca może uzyskać dostęp do poufnych informacji objętych ograniczeniami za pośrednictwem platformy SAP BusinessObjects Business Intelligence. Wykorzystanie tej luki w zabezpieczeniach umożliwiającej ujawnienie informacji może mieć znaczący wpływ na poufność i ograniczony wpływ na integralność aplikacji.
LinkOpisKrytycznośćCVSS
2622660Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK Kategoria: Błąd programuKrytyczna10,0
3271091[CVE-2022-41268] Luka w zabezpieczeniach związana z eskalacją uprawnień w SAP Business Planning and Consolidation Komponenty: EPM-BPC-NW Kategoria: Błąd programuWysoka8,5
3256787[CVE-2023-24530] Nieograniczone przesyłanie plików w SAP BusinessObjects Business Intelligence Platform (CMC) Komponenty: BI-BIP-CMC Kategoria: Błąd programuWysoka8,4
3287291[CVE-2023-23854] Brak kontroli autoryzacji w SAP NetWeaver AS ABAP i ABAP Platform Komponenty: BC-DWB-TOO-ABA Kategoria: Błąd programuNiska3,8
3285757[CVE-2023-24523] Luka w zabezpieczeniach związana z eskalacją uprawnień w agencie hosta SAP (Uruchom usługę) Komponenty: BC-CCM-HAG Kategoria: Błąd programuWysoka8,8
2788178[CVE-2023-24525] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w interfejsie użytkownika SAP CRM WebClient Komponenty: CA-WUI-UI-TAG Kategoria: Błąd programuŚrednia4,3
2985905[CVE-2023-24524] Brak sprawdzania autoryzacji w SAP S/4 HANA Mapa Dane formatu korespondencji dotyczącej skarbu Komponenty: CA-GTF-CSC-DME Kategoria: Błąd programuŚrednia6,5
3275841[CVE-2023-23851] Nieograniczone przesyłanie plików w SAP Business Planning and Consolidation Komponenty: EPM-BPC-NW-INF Kategoria: Błąd programuŚrednia5,4
3293786[CVE-2023-23858] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w rozwiązaniu SAP NetWeaver AS dla platformy ABAP i ABAP Komponenty: BC-ABA-LA Kategoria: Błąd programuŚrednia6,1
3281724[CVE-2023-0019] Brak kontroli autoryzacji w SAP GRC (Kontrola procesu) Komponenty: GRC-SPC-AC Kategoria: Błąd programuŚrednia6,5
3290901[CVE-2023-24528] Brak kontroli autoryzacji w aplikacjach SAP Fiori do zarządzania podróżami w SAP ERP (Moje wnioski o podróż) Komponenty: FI-TV-ODT-MTR Kategoria: Błąd programuŚrednia6,5
3282663[CVE-2023-24529] Luka Cross-Site Scripting (XSS) w SAP NetWeaver AS ABAP (aplikacja Business Server Pages) Komponenty: CA-GTF-PCF Kategoria: Błąd programuŚrednia6,1
3274585[CVE-2023-25614] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver AS ABAP (BSP Framework) Komponenty: BC-BSP Kategoria: Błąd programuŚrednia6,1
3269118[CVE-2023-24522] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w rozwiązaniu SAP NetWeaver AS ABAP (BSP Framework) Komponenty: BC-BSP Kategoria: Błąd programuŚrednia6,1
3269151[CVE-2023-24521] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP NetWeaver AS ABAP (BSP Framework) Komponenty: BC-BSP Kategoria: Błąd programuŚrednia6,1
3271227[CVE-2023-23853] Luka w zabezpieczeniach związana z przekierowaniem adresu URL w serwerze aplikacji SAP NetWeaver dla platformy ABAP i ABAP Komponenty: BC-MID-ICF Kategoria: Błąd programuŚrednia6,1
3268959[Wiele CVE] Liczne luki w SAP NetWeaver AS dla platformy ABAP i ABAP Komponenty: BC-MID-AC Kategoria: Błąd programuŚrednia6,1
3266751[CVE-2023-23852] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w rozwiązaniu SAP Solution Manager 7.2 Komponenty: SV-SMG-MON-SYS Kategoria: Błąd programuŚrednia6,1
3265846[CVE-2023-0024] Skrypty między lokacjami w SAP Solution Manager (aplikacja BSP) Komponenty: SV-SMG-SVD-SWB Kategoria: Błąd programuŚrednia6,5
3267442[CVE-2023-0025] Cross Site Scripting w SAP Solution Manager (aplikacja BSP) Komponenty: SV-SMG-SVD-SWB Kategoria: Błąd programuŚrednia6,5
3270509[CVE-2023-23855] Luka w zabezpieczeniach związana z przekierowaniem adresu URL w SAP Solution Manager Komponenty: SV-SMG-OP Kategoria: Błąd programuŚrednia6,5
3263135[CVE-2023-0020] Luka umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-INV Kategoria: Błąd programuWysoka8,5
3263863[CVE-2023-23856] Luka w zabezpieczeniach związana z atakami typu Cross-Site Scripting (XSS) w interfejsie Web Intelligence Komponenty: BI-RA-WBI-FE Kategoria: Błąd programuŚrednia4,3
3262544[CVE-2022-41262] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver AS for Java (usługa dostawcy HTTP) Komponenty: BC-JAS-WEB Kategoria: Błąd programuŚrednia6,1
Idź do oryginalnego materiału