SAP, Mayıs yama günü için 18 yeni güvenlik notu yayınlayacak. Bunlardan ikisi, kritik risk olarak sınıflandırılan güvenlik açıklarıyla ilgilidir. Bu nedenle BT yöneticileri, mevcut güncellemeleri hızlı bir şekilde indirmeli ve kurmalıdır.
SAP: Bazen tek tek ürünlerde birkaç boşluk
SAP, SAP Visual Enterprise License Manager’ın (CVE-2021-44152, CVSS) Reprise License Manager bileşenindeki en ciddi beş güvenlik açığını sınıflandırır. 9.8risk”eleştirmen“; CVE-2021-44151, CVSS 7.5, yüksek; CVE-2021-44153, CVSS 7.2, yüksek; CVE-2021-44154, CVSS 7.2, yüksek; CVE-2021-44155, CVSS 5.3, yarım). SAP BusinessObjects İş Zekası platformunda, yönetici ayrıcalıklarına sahip kimliği doğrulanmış saldırganlar, herhangi bir kullanıcı etkileşimi olmadan ağ üzerinden bağlanan herhangi bir kullanıcının erişim belirteçlerini çalabilir. Bu, platformun herhangi bir kullanıcısı gibi davranmalarına ve böylece verilere erişmelerine ve bunları değiştirmelerine olanak tanır. Ayrıca sistemi kısmen veya tamamen erişilemez hale getirebilirsiniz (CVE-2023-28762, CVSS 9.1, eleştirmen).
Şirket, diğer yedi yüksek riskli güvenlik açığını değerlendiriyor. Bunlardan, SAP AS Netweaver Java’da (CVE-2023-30744, CVSS) uygulama başlangıcında yetersiz erişim kontrolü 8.2, yüksek). Ek olarak, saldırganlar ayrıcalıklarını yükseltmek için Microsoft Excel için SAP IBP eklentisini kullanabilir (CVE-2023-29080, CVSS 8.2, yüksek).
Diğer yüksek riskli güvenlik açıkları, SAP PowerDesigner (proxy), SAP Commerce, Windows için SAP GUI, SAP Commerce (arka ofis) ve SAPUI5’i etkiler. SAP BusinessObjects Business Intelligence Platform, SAP CRM (WebClient UI), SAP Business Planning and Consolidation ve SAP BusinessObjects Business Intelligence Platform’da (Merkezi Yönetim Hizmeti) yedi orta riskli güvenlik açığı bulundu. SAP BusinessObjects İş Zekası platformunda ve ana satıcı hiyerarşisinde iki düşük tehditli güvenlik açığı da belirlendi.
Geliştiriciler, SAP’nin yama günü raporu özetinde daha fazla bilgiye bağlantı verir. Yöneticiler ayrıca, erişebilecekleri sayfalarda güncellenmiş yazılımları bulabilirler.
Nisan ayında SAP, yama gününde 19 güvenlik açığını düzeltti. Bunlardan ikisi kritik olarak sınıflandırıldı.
(dmk)
Haberin Sonu
SAP: Bazen tek tek ürünlerde birkaç boşluk
SAP, SAP Visual Enterprise License Manager’ın (CVE-2021-44152, CVSS) Reprise License Manager bileşenindeki en ciddi beş güvenlik açığını sınıflandırır. 9.8risk”eleştirmen“; CVE-2021-44151, CVSS 7.5, yüksek; CVE-2021-44153, CVSS 7.2, yüksek; CVE-2021-44154, CVSS 7.2, yüksek; CVE-2021-44155, CVSS 5.3, yarım). SAP BusinessObjects İş Zekası platformunda, yönetici ayrıcalıklarına sahip kimliği doğrulanmış saldırganlar, herhangi bir kullanıcı etkileşimi olmadan ağ üzerinden bağlanan herhangi bir kullanıcının erişim belirteçlerini çalabilir. Bu, platformun herhangi bir kullanıcısı gibi davranmalarına ve böylece verilere erişmelerine ve bunları değiştirmelerine olanak tanır. Ayrıca sistemi kısmen veya tamamen erişilemez hale getirebilirsiniz (CVE-2023-28762, CVSS 9.1, eleştirmen).
Şirket, diğer yedi yüksek riskli güvenlik açığını değerlendiriyor. Bunlardan, SAP AS Netweaver Java’da (CVE-2023-30744, CVSS) uygulama başlangıcında yetersiz erişim kontrolü 8.2, yüksek). Ek olarak, saldırganlar ayrıcalıklarını yükseltmek için Microsoft Excel için SAP IBP eklentisini kullanabilir (CVE-2023-29080, CVSS 8.2, yüksek).
Diğer yüksek riskli güvenlik açıkları, SAP PowerDesigner (proxy), SAP Commerce, Windows için SAP GUI, SAP Commerce (arka ofis) ve SAPUI5’i etkiler. SAP BusinessObjects Business Intelligence Platform, SAP CRM (WebClient UI), SAP Business Planning and Consolidation ve SAP BusinessObjects Business Intelligence Platform’da (Merkezi Yönetim Hizmeti) yedi orta riskli güvenlik açığı bulundu. SAP BusinessObjects İş Zekası platformunda ve ana satıcı hiyerarşisinde iki düşük tehditli güvenlik açığı da belirlendi.
Geliştiriciler, SAP’nin yama günü raporu özetinde daha fazla bilgiye bağlantı verir. Yöneticiler ayrıca, erişebilecekleri sayfalarda güncellenmiş yazılımları bulabilirler.
Nisan ayında SAP, yama gününde 19 güvenlik açığını düzeltti. Bunlardan ikisi kritik olarak sınıflandırıldı.
(dmk)
Haberin Sonu