Firma SAP publikuje aktualizacje bezpieczeństwa 06/2023 (P23-122)

cert.pse-online.pl 1 rok temu

13 czerwca 2023 r. firma SAP opublikowała poradniki dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów

Według SAP wydano 8 nowych not bezpieczeństwa. Dodatkowo pojawiło się 5 aktualizacji wydanych wcześniej Not Security Notes (źródło: SAP Digital Library).

Najwyższa ocena CVSS w bieżącym dniu SAP Security Patch Day wynosi 8,2. Ta ocena jest przypisywana do dokumentu SAP Security Note 3324285, który dotyczy luki CVE-2023-33991 zatytułowanej „Luka w zabezpieczeniach przechowywanych skryptów międzywitrynowych w interfejsie SAP UI5 (Variant Management)”. Ta luka dotyczy szerokiej gamy wersji komponentów SAP_UI, z wyjątkiem SAP_UI 758, który zawiera już niezbędną poprawkę. Wykorzystanie tej luki może umożliwić atakującemu z dostępem na poziomie użytkownika odczyt danych z serwera. Udane ataki mogą zagrozić integralności i poufności systemu.

Oprócz wspomnianych wyżej atrakcji, podczas czerwcowego dnia SAP Security Patch Day zwrócono również uwagę na system zmian i transportu w SAP NetWeaver. Mimo przypisania niskiego priorytetu, uwaga dotycząca zabezpieczeń 3325642 dotyczy luki w zabezpieczeniach, która zapobiega potencjalnemu atakowi typu „odmowa usługi” (DoS).

Ta konkretna luka może zostać wykorzystana przez uwierzytelnionego atakującego z uprawnieniami administratora. Osoba atakująca może wielokrotnie uruchamiać program porównawczy z zamiarem spowolnienia lub całkowitego zatrzymania funkcji SAP Transport Management. Chociaż wpływ tej luki w zabezpieczeniach jest zwykle niewielki podczas normalnej pracy, może zostać potencjalnie wykorzystany do przerwania ważnego czasowo uruchomienia projektu.

LinkOpisKrytycznośćCVSS
3319400[CVE-2023-31406] Luka w zabezpieczeniach platformy SAP BusinessObjects Business Intelligence związana z obsługą skryptów międzywitrynowych (XSS)
Komponenty: BI-BIP-INV
Kategoria: Błąd programu
Średnia6,1
2826092[CVE-2023-33986] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP CRM ABAP (Grantor Management)
Komponenty: CRM-IPS-BTX-APL Kategoria: Błąd programu
Średnia6,1
3318657[CVE-2023-33984] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP NetWeaver (Repozytorium czasu projektowania)
Komponenty: BC-CTS-DTR Kategoria: Błąd programu
Średnia6,4
3331627[CVE-2023-33985] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver (Enterprise Portal)
Komponenty: EP-PIN-NAV
Kategoria: Błąd programu
Średnia6,1
3325642[CVE-2023-32114] Odmowa usługi w SAP NetWeaver (system zmian i transportu) Komponenty: BC-CTS-TMS-CTR
Kategoria: Błąd programu
Niska2,7
3326210[CVE-2023-30743] Niewłaściwa neutralizacja danych wejściowych w SAPUI5
Komponenty: CA-UI5-CTR-BAL
Kategoria: Błąd programu
Wysoka7,1
3324285[CVE-2023-33991] Luka w zabezpieczeniach dotycząca przechowywanych skryptów międzywitrynowych w SAP UI5 (Variant Management)
Komponenty: CA-UI5-COR
Kategoria: Błąd programu
Wysoka8,2
3322800Aktualizacja 1 do informacji o zabezpieczeniach 3315971 — [CVE-2023-30742] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP CRM (interfejs użytkownika WebClient)
Komponenty: CA-WUI-UI-TAG
Kategoria: Błąd programu
Średnia6,1
3315971[CVE-2023-30742] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP CRM (interfejs klienta WebClient)
Komponenty: CA-WUI-UI-TAG
Kategoria: Błąd programu
Średnia6,1
3102769[CVE-2021-42063] Luka w zabezpieczeniach związana z obsługą skryptów międzywitrynowych (XSS) w SAP Knowledge Warehouse
Komponenty: KM-KW-HTA
Kategoria: Błąd programu
Wysoka8,8
3142092[CVE-2022-22542] Luka umożliwiająca ujawnienie informacji w SAP S/4HANA (arkusz informacyjny dostawcy i wyszukiwanie korporacyjne dla partnera biznesowego, dostawcy i klienta)
Komponenty: LO-MD-BP
Kategoria: Błąd programu
Średnia6,5
1794761[CVE-2023-32115] Wstrzyknięcie SQL w synchronizacji danych podstawowych (MDS COMPARE TOOL) Komponenty: AP-MD-BF-SYN
Kategoria: Błąd programu
Średnia4,2
3301942[CVE-2023-2827] Brak uwierzytelniania w SAP Plant Connectivity i Production Connector dla SAP Digital Manufacturing
Komponenty: MFG-PCO-DMC
Kategoria: Błąd programu
Wysoka7,9
Idź do oryginalnego materiału