12 marca 2024 r. firma SAP opublikowała zalecenia dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów. Uwzględniono aktualizacje krytyczne dla następujących elementów:
Aplikacje SAP Build – wersje starsze niż 4.9.145
SAP NetWeaver AS Java (wtyczka Administrator Log Viewer) – wersja 7.50
W tym miesiącu pojawiły się 2 nowe notatki HotNews. Notatka 2622660 została zaktualizowana dla Google Chromium i SAP Business Client. Ta notatka jest regularnie aktualizowana i tym razem dotyczy aktualizacji do CVSS 9.8, dla której dostępne są publiczne exploity.
CVE-2023-44487 – HTTP/2 Rapid Reset Attack
Od czasu do czasu w światło dzienne wychodzi luka, która może mieć potencjalny wpływ na wiele komponentów. To samo dotyczy tak zwanego „ataku szybkiego resetowania HTTP/2” skatalogowanego pod numerem „CVE-2023-44487”. Ci, którzy uważnie śledzą luki i łatki bezpieczeństwa SAP, mogli zauważyć tę lukę z 2023 r. i stycznia tego roku. Patrz uwagi SAP 3390068 i 3389917. Eksploatacja może prowadzić do odmowy usługi danego komponentu. Przykładami komponentów SAP, których dotyczy problem, są program Internet Communication Manager (ICM) i SAP Web Dispatcher. Może to również mieć wpływ na rozwiązania korzystające z tych komponentów, takie jak SAP HANA XS Classic i Advanced. W tym miesiącu opublikowano notę SAP 3410615, która dotyczy tych produktów specjalnie pod kątem tej luki.
Link | Opis | Krytyczność | CVSS |
2622660 | Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK Kategoria: Błąd programu | Krytyczna | 10.0 |
3425274 | [CVE-2019-10744] Luka w zabezpieczeniach polegająca na wstrzykiwaniu kodu w aplikacjach zbudowanych przy użyciu SAP Build Apps Komponenty: CA-LCA-ACP Kategoria: Błąd programu | Krytyczna | 9.4 |
3433192 | [CVE-2024-22127] Luka polegająca na wstrzykiwaniu kodu w SAP NetWeaver AS Java (wtyczka Administrator Log Viewer) Komponenty: BC-JAS-ADM-LOG Kategoria: Błąd programu | Krytyczna | 9.1 |
3346500 | [CVE-2023-39439] Nieprawidłowe uwierzytelnienie w SAP Commerce Cloud Komponenty: CEC-SCC-PLA-PL Kategoria: Błąd programu | Wysoka | 8.8 |
3410615 | [CVE-2023-44487 ] Odmowa usługi (DOS) w SAP HANA XS Classic i HANA XS Advanced Komponenty: HAN-AS-XS Kategoria: Błąd programu | Wysoka | 7.5 |
3414195 | [CVE-2023-50164] Luka w zabezpieczeniach związana z przejściem ścieżki w platformie SAP BusinessObjects Business Intelligence (Centralna konsola zarządzania) Komponenty: BI-BIP-CMC Kategoria: Błąd programu | Wysoka | 7.2 |
3377979 | [CVE-2024-27902] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP NetWeaver AS ABAP, aplikacjach opartych na SAPGUI for HTML (WebGUI) Komponenty: BC-FES-WGU Kategoria: Błąd programu | Średnia | 5.4 |
3434192 | [CVE-2024-28163] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w integracji procesów SAP NetWeaver (strony internetowe pomocy technicznej) Komponenty: BC-XI-IBF-UI Kategoria: Błąd programu | Średnia | 5.3 |
3425682 | [CVE-2024-25644] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver (WSRM) Komponenty: BC-ESI-WS-JAV-RT Kategoria: Błąd programu | Średnia | 5.3 |
3428847 | [CVE-2024-25645] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver (Portal Enterprise) Komponenty: EP-PIN-APF-OPR Kategoria: Błąd programu | Średnia | 5.3 |
3417399 | [CVE-2024-22133] Niewłaściwa kontrola dostępu w serwerze front-end SAP Fiori Komponenty: PA-FIO-LEA Kategoria: Błąd programu | Średnia | 4.6 |
3419022 | [CVE-2024-27900]Brak kontroli autoryzacji w platformie SAP ABAP Komponenty: BC-SRV-APS-APJ Kategoria: Błąd programu | Średnia | 4.3 |