Firma SAP publikuje aktualizacje bezpieczeństwa 03/2023 (P23-006)

cert.pse-online.pl 1 rok temu

14 marca 2023 r. firma SAP opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów. Jedną z najbardziej krytycznych luk usuniętych w tym dniu aktualizacji jest luka umożliwiająca wstrzyknięcie kodu CVSS 9.9 w platformie SAP Business Objects Business Intelligence Platform (CMC), o której mowa w nocie SAP 3245526 (wymienionej jako CVE-2023-25616). Inną krytyczną luką w zabezpieczeniach jest niewłaściwie obsługiwana kontrola dostępu w SAP NetWeaver AS Java, która ocenia CVSS na 9,9 i jest usuwana przez wdrożenie SAP Note 3252433 (wymienione jako CVE-2023-23857). Ta luka w zabezpieczeniach implementuje brakującą weryfikację uwierzytelnienia, która umożliwia atakującemu uzyskanie dostępu do katalogu usług API. Ze względu na duże prawdopodobieństwo wykorzystania tej luki zalecamy klientom jak najszybsze załatanie tej luki.

Kolejna luka usunięta w SAP Note 3283438 (wymieniona jako CVE-2023-25617) została oceniona przez CVSS 9.6 z priorytetem Hot News i jest to luka w zabezpieczeniach związana z przeglądaniem katalogów w programie SAPRSBRO, która istnieje w SAP S/4HANA i ma wpływ na wiele wersji SAP od 700 aż do 757.

Pełna lista:

LinkOpisKrytycznośćCVSS
3289844[CVE-2023-25615] Luka SQL Injection w SAP ABAP
Platform Komponenty: BC-DWB-TOO-TDF
Kategoria: Błąd programu
Średnia6,8
3245526[CVE-2023-25616] Luka umożliwiająca wstrzyknięcie kodu w SAP Business Objects Business Intelligence Platform (CMC)
Komponenty: BI-BIP-CMC
Kategoria: Błąd programu
Krytyczna9,9
3283438[CVE-2023-25617] Luka umożliwiająca wykonanie polecenia systemu operacyjnego w SAP Business Objects Business Intelligence Platform (Adaptive Job Server)
Komponenty: BI-BIP-SRV
Kategoria: Błąd programu
Krytyczna9,0
3302710[CVE-2023-27895] Luka umożliwiająca ujawnienie informacji w aplikacji SAP Authenticator dla systemu Android
Komponenty: BC-IAM-SSO-OTP
Kategoria: Błąd programu
Średnia6,1
3296328[CVE-2023-27270] Odmowa usługi (DoS) w SAP NetWeaver AS dla ABAP i platformy ABAP
Komponenty: BC-MID-ICF
Kategoria: Błąd programu
Średnia6,5
3294954[CVE-2023-27501] Luka związana z przechodzeniem do katalogu w SAP NetWeaver AS dla ABAP i platformy ABAP
Komponenty: BC-CTS-TMS
Kategoria: Błąd programu
Wysoka8,7
3252433[CVE-2023-23857] Nieprawidłowa kontrola dostępu w SAP NetWeaver AS for Java
Komponenty: BC-CST-EQ
Kategoria: Błąd programu
Krytyczna9,9
3294595[CVE-2023-27269] Luka związana z przechodzeniem do katalogu w SAP NetWeaver AS dla ABAP i platformy ABAP
Komponenty: BC-CCM-PRN
Kategoria: Błąd programu
Krytyczna9,6
3296346[CVE-2023-26459] Wiele luk w zabezpieczeniach SAP NetWeaver AS dla platformy ABAP i ABAP Komponenty: BC-MID-ICF
Kategoria: Błąd programu
Wysoka7,4
3281484[CVE-2023-26457] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP Content Server
Komponenty: BC-SRV-KPR-CS
Kategoria: Błąd programu
Średnia6,1
3274920[CVE-2023-0021] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver
Komponenty: BC-CCM-PRN-PC
Kategoria: Błąd programu
Średnia6,1
3302162[CVE-2023-27500] Luka w zabezpieczeniach Directory Traversal w SAP NetWeaver AS dla ABAP i platformy ABAP
Komponenty: BC-DOC-RIT
Kategoria: Błąd programu
Krytyczna9,6
3284550[CVE-2023-26461] Luka XML External Entity (XXE) w SAP NetWeaver (SAP Enterprise Portal)
Komponenty: EP-PIN-PSL
Kategoria: Błąd programu
Średnia6,8
3296476[CVE-2023-27893] Wykonanie dowolnego kodu w SAP Solution Manager i systemach zarządzanych ABAP (ST-PI)
Komponenty: SV-SMG-SDD
Kategoria: Błąd programu
Wysoka8,8
3275727[CVE-2023-27498] Luka w zabezpieczeniach związana z uszkodzeniem pamięci w SAPOSCOL Komponenty: BC-CCM-MON-OS
Kategoria: Błąd programu
Wysoka7,2
3287120[Wiele CVE] Liczne luki w platformie SAP BusinessObjects Business Intelligence
Komponenty: BI-BIP-INV
Kategoria: Błąd programu
Średnia6,5
3288480[CVE-2023-27268] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java (usługa analizy obiektów) Komponenty: BC-JAS-COR-SES
Kategoria: Błąd programu
Średnia5,3
3288096[CVE-2023-26460] Nieprawidłowa kontrola dostępu w SAP NetWeaver AS Java (usługa zarządzania pamięcią podręczną)
Komponenty: BC-JAS-COR-CSH
Kategoria: Błąd programu
Średnia5,3
3288394[CVE-2023-24526] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java (usługa Classload) Komponenty: BC-JAS-COR
Kategoria: Błąd programu
Średnia5,3
3273480[CVE-2022-41272] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java (wyszukiwanie zdefiniowane przez użytkownika)
Komponenty: BC-XI-CON-UDS
Kategoria: Błąd programu
Krytyczna9,9
3274585[CVE-2023-25614] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver AS ABAP (BSP Framework)
Komponenty: BC-BSP
Kategoria: Błąd programu
Średnia6,1
Idź do oryginalnego materiału