Firma SAP publikuje aktualizacje bezpieczeństwa 04/2024 (P24-115)

cert.pse-online.pl 8 miesięcy temu

Na kwiecień 2024 r. opublikowano 10 nowych uwag dotyczących bezpieczeństwa, a 2 zaktualizowano.

Nota SAP 3434839 opisuje, w jaki sposób silnik zarządzania użytkownikami (UME) systemu Java jest podatny na ataki funkcji „Samodzielna rejestracja” i „Modyfikuj swój własny profil”. Analizując tę ​​lukę, podkreśla znaczenie zasady „bezpieczeństwa od samego początku”.

Notatki SAP 3421384 i 3438234 dotyczą różnych produktów, ale mają wspólną przyczynę występowania luk: niepewna obsługa plików wprowadzanych z interfejsu użytkownika. Z tym wiąże się wiele luk w zabezpieczeniach, które mogą prowadzić na przykład do ataków typu „Path Traversal”.

Wszystkie trzy powyższe luki można złagodzić poprzez załatanie komponentu lub obejście tego problemu. Oczywiście zalecane jest łatanie.

Wszystkie notatki SAP 3442378, 3430173 i 3427178 dotyczą jednej z najbardziej podstawowych przyczyn nieprawidłowego dostępu do danych: braku kontroli autoryzacji! Rzadko kiedy runda aktualizacji przebiega bez poprawek tej kategorii.

Notatka SAP 3442741 opisuje lukę w zabezpieczeniach „Przepełnienie stosu” dla „Komórki integracji brzegowej”. Opcja wdrożenia zapewniająca funkcjonalność pakietu BTP Integration Suite, ale w konfiguracji kontenera Kubernetes. Można go używać jako opcji integracji hybrydowej w środowisku prywatnym/lokalnym. Jednocześnie nota SAP 3421453 dotyczy wielu luk XSS w SAP Business Connector.

LinkOpisKrytycznośćCVSS
3434839[CVE-2024-27899] Luka w zabezpieczeniach związana z błędną konfiguracją zabezpieczeń w SAP NetWeaver AS Java User Management Engine
Komponenty: BC-JAS-SEC-UME
Kategoria: Błędy programu
Wysoka8.8
3421384[CVE-2024-25646] Luka w zabezpieczeniach SAP BusinessObjects Web Intelligence umożliwiająca ujawnienie informacji
Komponenty: BI-RA-WBI
Kategoria: Błędy programu
Wysoka7.7
3438234[CVE-2024-27901] Luka w zabezpieczeniach Directory Travers w SAP Asset Accounting
Komponenty: FI-AA-AA-A
Kategoria: Błędy programu
Wysoka7.2
3442741Luka w zabezpieczeniach związana z przepełnieniem stosu w obrazach komponentów pakietu SAP Integration Suite (komórka integracji EDGE)
Komponenty: LOD-HCI-PI-OP-NM
Kategoria: Błędy programu
Średnia6.8
3359778[CVE-2024-30218] Luka w zabezpieczeniach typu „odmowa usługi” (DOS) w SAP NetWeaver AS ABAP i platformie ABAP
Komponenty: BC-CST-DP
Kategoria: Błędy programu
Średnia6.5
3164677[CVE-2022-29613] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP Employee Self Service (Fiori My Leave Request)
Komponenty: PA-FIO-LEA
Kategoria: Błędy programu
Średnia6.5
3442378[CVE-2024-28167] Brak kontroli autoryzacji w zbiorze danych raportowania grupy SAP (wprowadź dane pakietu)
Komponenty: FIN-CS-CDC-DC
Kategoria: Błędy programu
Średnia6.5
3156972[CVE-2023-40306] Luka w zabezpieczeniach przekierowania adresu URL w SAP S/4HANA (Zarządzaj Komponenty: MM-FIO-PUR-REQ-SSP
Kategoria: Błędy programu
Średnia6.1
3425188[CVE-2024-27898] Fałszowanie żądań po stronie serwera w SAP NetWeaver
Komponenty: BC-ESI-WS-JAV-RT
Kategoria: Błędy programu
Średnia5.3
3421453[Wiele CVE] Luki w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP Business Connector Komponenty: BC-MID-BUS
Kategoria: Błędy programu
Średnia4.8
3430173[CVE-2024-30217] Brak kontroli autoryzacji w SAP S/4 HANA (zarządzanie gotówką)
Komponenty: FIN-FSCM-CLM-BAM
Kategoria: Błędy programu
Średnia4.3
3427178[CVE-2024-30216] Brak kontroli autoryzacji w SAP S/4 HANA (zarządzanie gotówką)
Komponenty: FIN-FSCM-CLM-BAM
Kategoria: Błędy programu
Średnia4.3
Idź do oryginalnego materiału