Firma SAP publikuje aktualizacje bezpieczeństwa 07/2024 (P24-221)

cert.pse-online.pl 5 miesięcy temu

Na lipiec 2024 r. wydano 16 nowych notatek dotyczących bezpieczeństwa, a 2 zaktualizowano.

Poniżej podkreślimy kilka punktów, na które warto zwrócić uwagę.

Uwaga 3490515: Opisuje lukę w funkcji „wczesnego logowania i rejestracji” w SAP Commerce. Należy pamiętać, iż rozwiązanie SAP Commerce jest dostępne w wariancie publicznym i lokalnym, którego naprawa wymaga różnych kroków. Należy również zwrócić uwagę na to obejście jako rozwiązanie tymczasowe.

Uwaga 3461110: opisana tutaj luka dotyczy interfejsu GUI SAP dla systemu Windows. Komponent przez cały czas bardzo często używany w organizacjach. Opisany problem może wystąpić tylko wtedy, gdy stacja robocza użytkownika jest w dużym stopniu zagrożona. Mimo to podkreśla ogólną słabość haseł i wartość dodaną bezpiecznego rozwiązania alternatywnego, takiego jak jednokrotne logowanie.

Notatki 3476348 i 3476340 opisują luki w zabezpieczeniach SAP Enable Now. Również tutaj: zwróć uwagę na różnicę w wariancie chmurowym i lokalnym. W zależności od wariantu potrzebne są różne działania.

LinkOpisKrytycznośćCVSS
3483344[CVE-2024-39592] Brak kontroli autoryzacji w SAP PDCE
Komponenty: FIN-BA
Kategoria: Błąd programu
Wysoka7.7
3490515[CVE-2024-39597] Niewłaściwe kontrole autoryzacji w przypadku wczesnego logowania Witryny B2B z możliwością komponowania witryny sklepowej w SAP Commerce
Komponenty: CEC-SCC-COM-BC-CS
Kategoria: Błąd programu
Wysoka7.2
3466801[CVE-2024-39593] Luka w zabezpieczeniach SAP Landscape Management umożliwiająca ujawnienie informacji
Komponenty: BC-VCM-LVM
Kategoria: Błąd programu
Średnia6.9
3459379[CVE-2024-34683] Nieograniczone przesyłanie plików w SAP Document Builder (usługa HTTP) Komponenty: CA-GTF-DOB
Kategoria: Błąd programu
Średnia6.5
3468681[CVE-2024-34685] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP NetWeaver Knowledge Management XMLEditor
Komponenty: EP-PIN-WPC-WCM
Kategoria: Błąd programu
Średnia6.1
3482217[CVE-2024-39594] Wiele luk w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP Business Warehouse — planowanie biznesowe i symulacja
Komponenty: BW-PLA-BPS
Kategoria: Błąd programu
Średnia6.1
3467377[Wiele CVE] Wiele luk w SAP CRM (WebClient UI)
Komponenty: CA-WUI-UI
Kategoria: Błąd programu
Średnia6.1
3457354[CVE-2024-37172] Brak kontroli autoryzacji w SAP S/4HANA Finance (zaawansowane zarządzanie płatnościami)
Komponenty: FIN-FSCM-PF-IHB
Kategoria: Błąd programu
Średnia5.4
3483993[CVE-2024-34689] Warunek wstępny dotyczący notatki bezpieczeństwa 3458789
Komponenty: BC-BMT-WFM
Kategoria: Błąd programu
Średnia5.0
3485805[CVE-2024-34689] Lista dozwolonych adresów URL wywołań zwrotnych w SAP Business Workflow (usługi WebFlow)
Komponenty: BC-BMT-WFM
Kategoria: Informacje o aktualizacji
Średnia5.0
3469958[CVE-2024-37171] Fałszowanie żądań po stronie serwera (SSRF) w SAP Transportation Management (portal współpracy)
Komponenty: TM-CP
Kategoria: Błąd programu
Średnia5.0
3461110[CVE-2024-39600] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w interfejsie SAP GUI dla systemu Windows
Komponenty: BC-FES-GUI
Kategoria: Błąd programu
Średnia5.0
3458789[CVE-2024-34689] Fałszowanie żądań po stronie serwera w SAP Business Workflow (usługi WebFlow) Komponenty: BC-BMT-WFM
Kategoria: Błąd programu
Średnia5.0
3456952[CVE-2024-39599] Awaria mechanizmu ochrony w serwerze aplikacji SAP NetWeaver dla platformy ABAP i ABAP
Komponenty: BC-MID-ICF
Kategoria: Błąd programu
Średnia4.7
3476348[CVE-2024-39596] Brakująca luka w zabezpieczeniach sprawdzania autoryzacji w SAP Włącz teraz Komponenty: KM-SEN-MGR
Kategoria: Informacje o aktualizacji
Średnia4.3
3101986Przygotuj obsługę CSP dla lokalnego portu down dla zależności kodu w interfejsie użytkownika SAP CRM WebClient
Komponenty: CA-WUI-UI
Kategoria: Błąd programu
Średnia4.1
3454858[CVE-2024-37180] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w serwerze aplikacji SAP NetWeaver dla ABAP i platformy ABAP Priorytet: Korekta o średnim priorytecie Wydany: 09.07.2024
Komponenty: BC-SRV-DX-DXW
Kategoria: Błąd programu
Średnia4.1
3476340[CVE-2024-34692] Luka w zabezpieczeniach umożliwiająca nieograniczone przesyłanie plików w SAP Włącz teraz
Komponenty: KM-SEN-MGR
Kategoria: Informacje o aktualizacji
Niska3.3
Idź do oryginalnego materiału