9 maja 2023 r. firma SAP opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów.
Zdecydowanie zalecamy wszystkim klientom tej linii produktów przejrzenie i zastosowanie wszystkich odpowiednich poprawek bezpieczeństwa. Najwyższy wynik CVSS wynoszący 9,1 przyznano poprawce 3307833, która dotyczy [CVE-2023-28762] ujawniania informacji w SAP BusinessObjects Business Intelligence Platform (Central Management Console).
Wydano poprawkę HotNews (3328495) usuwającą wiele luk związanych z komponentem Reprise License Manager 14.2, używanym z SAP 3D Visual Enterprise License Manager. Menedżer licencji Reprise to składnik systemu innej firmy, który zapewnia usługi zarządzania licencjami dla różnych aplikacji, w tym produktu SAP 3D Visual Enterprise. Umożliwia dostawcom systemu zarządzanie modelami licencjonowania, a użytkownikom końcowym umożliwia aktywację, zarządzanie i śledzenie licencji. W przeszłości stwierdzono, iż menedżer licencji Reprise ma luki, które mogą zostać wykorzystane przez atakujących w celu uzyskania nieautoryzowanego dostępu do systemów lub kradzieży poufnych informacji. Dlatego ważne jest, aby zastosować najnowsze poprawki bezpieczeństwa dla tego komponentu, aby zapewnić bezpieczeństwo swoich systemów.
Ponadto istnieje siedem (7) poprawek bezpieczeństwa o wysokim priorytecie i różne inne sklasyfikowane jako średnie. Zdecydowanie zalecamy przejrzenie wszystkich poprawek bezpieczeństwa, choćby tych o niższym priorytecie, ponieważ udany atak zwykle polega na wykorzystaniu łańcucha istniejących luk w zabezpieczeniach.
Lista aktualizacji zabezpieczeń:
Link | Opis | Krytyczność | CVSS |
3117978 | [CVE-2023-29111] Luka umożliwiająca ujawnienie informacji w SAP Application Interface Framework (usługa ODATA) Komponenty: BC-SRV-AIF Kategoria: Błąd programu | Niska | 3,1 |
3326210 | [CVE-2023-30743] Niewłaściwa neutralizacja danych wejściowych w SAPUI5 Składniki: CA-UI5-CTR-BAL Kategoria: Błąd programu | Wysoka | 7,1 |
3315979 | [CVE-2023-29188] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w interfejsie użytkownika SAP CRM WebClient Komponenty: CA-WUI-CON Kategoria: Błąd programu | Średnia | 5,4 |
3309935 | [CVE-2023-30741] Luka w zabezpieczeniach platformy SAP BusinessObjects Business Intelligence związana z obsługą skryptów międzywitrynowych (XSS) Komponenty: BI-BIP-INV Kategoria: Błąd programu | Średnia | 6,1 |
3313484 | [CVE-2023-30740] Luka umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-INV Kategoria: Błąd programu | Średnia | 6,3 |
3328495 | Wiele luk w zabezpieczeniach związanych z komponentem Reprise License Manager 14.2 używanym z SAP 3D Visual Enterprise License Manager Komponenty: CA-VE Kategoria: Błąd programu | Krytyczna | 9,8 |
3317453 | [CVE-2023-30744] Niewłaściwa kontrola dostępu podczas uruchamiania aplikacji w SAP AS NetWeaver JAVA Komponenty: BC-JAS-EJB Kategoria: Błąd programu | Wysoka | 8,2 |
3315971 | [CVE-2023-30742] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP CRM (interfejs klienta WebClient) Komponenty: CA-WUI-UI-TAG Kategoria: Błąd programu | Średnia | 6,1 |
3307833 | [CVE-2023-28762] Ujawnianie informacji w SAP BusinessObjects Business Intelligence Platform (Central Management Console) Komponenty: BI-BIP-SRV Kategoria: Błąd programu | Krytyczna | 9,1 |
3323415 | [CVE-2023-29080] Luka w zabezpieczeniach umożliwiająca eskalację uprawnień w rozwiązaniu SAP IBP, dodatek do programu Microsoft Excel Komponenty: SCM-IBP-XLS Kategoria: Błąd programu | Wysoka | 8,2 |
3320467 | [CVE-2023-32113] Luka umożliwiająca ujawnienie informacji w SAP GUI dla Windows Komponenty: BC-FES-GUI Kategoria: Błąd programu | Wysoka | 7,5 |
3320145 | Odmowa usługi (DOS) w SAP Commerce Komponenty: CEC-COM-CPS-OTH Kategoria: Błąd programu | Wysoka | 7,5 |
3319400 | [CVE-2023-31406] Luka w zabezpieczeniach platformy SAP BusinessObjects Business Intelligence związana z obsługą skryptów międzywitrynowych (XSS) Komponenty: BI-BIP-INV Kategoria: Błąd programu | Średnia | 6,1 |
3302595 | [CVE-2023-28764] Luka umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-IDT Kategoria: Błąd programu | Niska | 3,7 |
3300624 | [CVE-2023-32111] Luka w zabezpieczeniach związana z uszkodzeniem pamięci w SAP PowerDesigner (proxy) Komponenty: BC-SYB-PD Kategoria: Błąd programu | Wysoka | 7,5 |
3312892 | [CVE-2023-31407] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP Business Planning and Consolidation Komponenty: EPM-BPC-NW-DOC Kategoria: Błąd programu | Średnia | 5,4 |
2335198 | [CVE-2023-32112] Brak sprawdzania autoryzacji w hierarchii nadrzędnej dostawcy Komponenty: LO-MD-BP-VM Kategoria: Błąd programu | Niska | 2,8 |
3321309 | Luka umożliwiająca ujawnienie informacji w SAP Commerce (Backoffice) Komponenty: CEC-COM-CPS-OTH Kategoria: Błąd programu | Wysoka | 7,5 |
2622660 | Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK Kategoria: Błąd programu | Krytyczna | 10,0 |
3038911 | [CVE-2023-31404] Ujawnianie informacji w SAP BusinessObjects Business Intelligence Platform (Central Management Service) Komponenty: BI-BIP-ADM Kategoria: Błąd programu | Średnia | 5,0 |