Firma SAP publikuje aktualizacje bezpieczeństwa 05/2023 (P23-072)

cert.pse-online.pl 1 rok temu

9 maja 2023 r. firma SAP opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów.

Zdecydowanie zalecamy wszystkim klientom tej linii produktów przejrzenie i zastosowanie wszystkich odpowiednich poprawek bezpieczeństwa. Najwyższy wynik CVSS wynoszący 9,1 przyznano poprawce 3307833, która dotyczy [CVE-2023-28762] ujawniania informacji w SAP BusinessObjects Business Intelligence Platform (Central Management Console).

Wydano poprawkę HotNews (3328495) usuwającą wiele luk związanych z komponentem Reprise License Manager 14.2, używanym z SAP 3D Visual Enterprise License Manager. Menedżer licencji Reprise to składnik systemu innej firmy, który zapewnia usługi zarządzania licencjami dla różnych aplikacji, w tym produktu SAP 3D Visual Enterprise. Umożliwia dostawcom systemu zarządzanie modelami licencjonowania, a użytkownikom końcowym umożliwia aktywację, zarządzanie i śledzenie licencji. W przeszłości stwierdzono, iż menedżer licencji Reprise ma luki, które mogą zostać wykorzystane przez atakujących w celu uzyskania nieautoryzowanego dostępu do systemów lub kradzieży poufnych informacji. Dlatego ważne jest, aby zastosować najnowsze poprawki bezpieczeństwa dla tego komponentu, aby zapewnić bezpieczeństwo swoich systemów.

Ponadto istnieje siedem (7) poprawek bezpieczeństwa o wysokim priorytecie i różne inne sklasyfikowane jako średnie. Zdecydowanie zalecamy przejrzenie wszystkich poprawek bezpieczeństwa, choćby tych o niższym priorytecie, ponieważ udany atak zwykle polega na wykorzystaniu łańcucha istniejących luk w zabezpieczeniach.

Lista aktualizacji zabezpieczeń:

LinkOpisKrytycznośćCVSS
3117978[CVE-2023-29111] Luka umożliwiająca ujawnienie informacji w SAP Application Interface Framework (usługa ODATA) Komponenty: BC-SRV-AIF Kategoria: Błąd programuNiska3,1
3326210[CVE-2023-30743] Niewłaściwa neutralizacja danych wejściowych w SAPUI5 Składniki: CA-UI5-CTR-BAL Kategoria: Błąd programuWysoka7,1
3315979[CVE-2023-29188] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w interfejsie użytkownika SAP CRM WebClient Komponenty: CA-WUI-CON Kategoria: Błąd programuŚrednia5,4
3309935[CVE-2023-30741] Luka w zabezpieczeniach platformy SAP BusinessObjects Business Intelligence związana z obsługą skryptów międzywitrynowych (XSS) Komponenty: BI-BIP-INV Kategoria: Błąd programuŚrednia6,1
3313484[CVE-2023-30740] Luka umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-INV Kategoria: Błąd programuŚrednia6,3
3328495Wiele luk w zabezpieczeniach związanych z komponentem Reprise License Manager 14.2 używanym z SAP 3D Visual Enterprise License Manager Komponenty: CA-VE Kategoria: Błąd programuKrytyczna9,8
3317453[CVE-2023-30744] Niewłaściwa kontrola dostępu podczas uruchamiania aplikacji w SAP AS NetWeaver JAVA Komponenty: BC-JAS-EJB Kategoria: Błąd programuWysoka8,2
3315971[CVE-2023-30742] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP CRM (interfejs klienta WebClient) Komponenty: CA-WUI-UI-TAG Kategoria: Błąd programuŚrednia6,1
3307833[CVE-2023-28762] Ujawnianie informacji w SAP BusinessObjects Business Intelligence Platform (Central Management Console) Komponenty: BI-BIP-SRV Kategoria: Błąd programuKrytyczna9,1
3323415[CVE-2023-29080] Luka w zabezpieczeniach umożliwiająca eskalację uprawnień w rozwiązaniu SAP IBP, dodatek do programu Microsoft Excel Komponenty: SCM-IBP-XLS Kategoria: Błąd programuWysoka8,2
3320467[CVE-2023-32113] Luka umożliwiająca ujawnienie informacji w SAP GUI dla Windows Komponenty: BC-FES-GUI Kategoria: Błąd programuWysoka7,5
3320145Odmowa usługi (DOS) w SAP Commerce Komponenty: CEC-COM-CPS-OTH Kategoria: Błąd programuWysoka7,5
3319400[CVE-2023-31406] Luka w zabezpieczeniach platformy SAP BusinessObjects Business Intelligence związana z obsługą skryptów międzywitrynowych (XSS) Komponenty: BI-BIP-INV Kategoria: Błąd programuŚrednia6,1
3302595[CVE-2023-28764] Luka umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-IDT Kategoria: Błąd programuNiska3,7
3300624[CVE-2023-32111] Luka w zabezpieczeniach związana z uszkodzeniem pamięci w SAP PowerDesigner (proxy) Komponenty: BC-SYB-PD Kategoria: Błąd programuWysoka7,5
3312892[CVE-2023-31407] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP Business Planning and Consolidation Komponenty: EPM-BPC-NW-DOC Kategoria: Błąd programuŚrednia5,4
2335198[CVE-2023-32112] Brak sprawdzania autoryzacji w hierarchii nadrzędnej dostawcy Komponenty: LO-MD-BP-VM Kategoria: Błąd programuNiska2,8
3321309Luka umożliwiająca ujawnienie informacji w SAP Commerce (Backoffice) Komponenty: CEC-COM-CPS-OTH Kategoria: Błąd programuWysoka7,5
2622660Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK Kategoria: Błąd programuKrytyczna10,0
3038911[CVE-2023-31404] Ujawnianie informacji w SAP BusinessObjects Business Intelligence Platform (Central Management Service) Komponenty: BI-BIP-ADM Kategoria: Błąd programuŚrednia5,0
Idź do oryginalnego materiału