Mart yama günü için SAP, çeşitli şirket ürünlerindeki 19 güvenlik açığıyla ilgili güvenlik raporları yayınladı. Olağandışı: Bu kez yazılım geliştiricileri önceki Patchday mesajlarındaki güvenlik bildirimlerini yeni bilgilerle güncellemediler.
SAP: Güvenlikle ilgili birkaç kritik hata
Şirketin geliştiricileri, 19 güvenlik açığından beşini kritik olarak değerlendiriyor. Diğer dört güvenlik açığı yüksek riski, on sızıntı ise orta tehdit düzeyini temsil ediyor.Şirket, SAP Patchday sayfasında güvenlik açıklarına ilişkin bir genel bakış listeliyor ve güvenlik açıklarıyla ilgili ayrıntıları içeren diğer sayfalara bağlantılar veriyor.
İçinde SAP Business Objects İş Zekası (CMC) platformu bir güvenlik açığı nedeniyle kod enjekte edebilir ve ayrıcalıklı haklarla çalıştırabilir (CVE-2023-25616, CVSS 9.9risk”eleştirmen“). Yetersiz kimlik doğrulama girişleri Java için SAP NetWeaver AS saldırganların önceden oturum açmadan erişmesine izin verdi (CVE-2023-23857, CVSS 9.9, eleştirmen). Dizin geçişi güvenlik açığı, saldırganların güvenlik açığı bulunan dosyalara erişmesine olanak tanır ABAP ve ABAP için SAP NetWeaver ASsistemler yazabilir (CVE-2023-27269, CVSS 9.6, eleştirmen).
Benzer bir boşluk SAPRSBROSAP ERP ve S4HANA programı, saldırganların sistem dosyalarının (CVE-2023-27500, CVSS) üzerine yazmasına izin verdi 9.6, eleştirmen). Bir boşluk SAP Business Objects İş Zekası Platformu (Uyarlanabilir İş Sunucusu) oturum açmış kullanıcıların Unix komutlarını uzaktan yürütmesine izin verildi (CVE-2023-25617, CVSS 9.0, eleştirmen).
Yüksek ve orta risk farkı
Yüksek riskli güvenlik açıkları bulundu SAP Solution Manager ve ABAP Yönetilen Sistemler (ST-PI) (CVE-2023-27893, CVSS 8.8, yüksek), ABAP ve ABAP platformu için SAP NetWeaver AS (CVE-2023-27501, CVSS 8.7, yüksek; CVE-2023-26459, CVSS 7.4, yüksek), SAPOSCOL (CVE-2023-27498, CVSS 7.2, yüksek). Öte yandan, geliştiricilere göre orta düzeyde risk oluşturan güvenlik açıkları SAP NetWeaver (SAP Şirket Portalı), ABAP platformları, ABAP ve ABAP platformu için SAP NetWeaver AS, SAP BusinessObjects İş Zekası platformu, SAP içerik sunucuları, Android için SAP Kimlik Doğrulayıcı, SAP NetWeaver, SAP NetWeaver AS Java (Nesne Analiz Hizmeti), Java için SAP NetWeaver AS (Önbellek Yönetim Hizmeti) birlikte SAP NetWeaver AS Java (Sınıf Yükü Hizmeti).
BT yöneticileri, SAP’de oturum açtıklarında mevcut güncellemeleri tanıdık yollarla alır. Siber suçluların saldırı yüzeyini azaltmak için bunları hızlı bir şekilde indirmeli ve kurmalısınız. Şubat ayındaki yama gününde SAP 21 güvenlik açığını düzeltti ve sızıntıları gidermek için güncellemeler yayınladı.
(dmk)
Haberin Sonu
SAP: Güvenlikle ilgili birkaç kritik hata
Şirketin geliştiricileri, 19 güvenlik açığından beşini kritik olarak değerlendiriyor. Diğer dört güvenlik açığı yüksek riski, on sızıntı ise orta tehdit düzeyini temsil ediyor.Şirket, SAP Patchday sayfasında güvenlik açıklarına ilişkin bir genel bakış listeliyor ve güvenlik açıklarıyla ilgili ayrıntıları içeren diğer sayfalara bağlantılar veriyor.
İçinde SAP Business Objects İş Zekası (CMC) platformu bir güvenlik açığı nedeniyle kod enjekte edebilir ve ayrıcalıklı haklarla çalıştırabilir (CVE-2023-25616, CVSS 9.9risk”eleştirmen“). Yetersiz kimlik doğrulama girişleri Java için SAP NetWeaver AS saldırganların önceden oturum açmadan erişmesine izin verdi (CVE-2023-23857, CVSS 9.9, eleştirmen). Dizin geçişi güvenlik açığı, saldırganların güvenlik açığı bulunan dosyalara erişmesine olanak tanır ABAP ve ABAP için SAP NetWeaver ASsistemler yazabilir (CVE-2023-27269, CVSS 9.6, eleştirmen).
Benzer bir boşluk SAPRSBROSAP ERP ve S4HANA programı, saldırganların sistem dosyalarının (CVE-2023-27500, CVSS) üzerine yazmasına izin verdi 9.6, eleştirmen). Bir boşluk SAP Business Objects İş Zekası Platformu (Uyarlanabilir İş Sunucusu) oturum açmış kullanıcıların Unix komutlarını uzaktan yürütmesine izin verildi (CVE-2023-25617, CVSS 9.0, eleştirmen).
Yüksek ve orta risk farkı
Yüksek riskli güvenlik açıkları bulundu SAP Solution Manager ve ABAP Yönetilen Sistemler (ST-PI) (CVE-2023-27893, CVSS 8.8, yüksek), ABAP ve ABAP platformu için SAP NetWeaver AS (CVE-2023-27501, CVSS 8.7, yüksek; CVE-2023-26459, CVSS 7.4, yüksek), SAPOSCOL (CVE-2023-27498, CVSS 7.2, yüksek). Öte yandan, geliştiricilere göre orta düzeyde risk oluşturan güvenlik açıkları SAP NetWeaver (SAP Şirket Portalı), ABAP platformları, ABAP ve ABAP platformu için SAP NetWeaver AS, SAP BusinessObjects İş Zekası platformu, SAP içerik sunucuları, Android için SAP Kimlik Doğrulayıcı, SAP NetWeaver, SAP NetWeaver AS Java (Nesne Analiz Hizmeti), Java için SAP NetWeaver AS (Önbellek Yönetim Hizmeti) birlikte SAP NetWeaver AS Java (Sınıf Yükü Hizmeti).
BT yöneticileri, SAP’de oturum açtıklarında mevcut güncellemeleri tanıdık yollarla alır. Siber suçluların saldırı yüzeyini azaltmak için bunları hızlı bir şekilde indirmeli ve kurmalısınız. Şubat ayındaki yama gününde SAP 21 güvenlik açığını düzeltti ve sızıntıları gidermek için güncellemeler yayınladı.
(dmk)
Haberin Sonu