SAP, Kasım Patchday'inde güvenlik yamalarını yayınladı. Yakın zamanda bildirilen sekiz güvenlik açığını ele alıyorlar. Önceki iki güvenlik notu için de güncellemeler mevcuttur.
Duyuru
SAP, Patchday genel bakışında bireysel güvenlik notlarını listeler. En ciddi sorun, SAP Web Dispatcher'da siteler arası komut dosyası oluşturmadaki boşluktur. Saldırganlar, önceden kaydolmadan kötü amaçlı bir bağlantı oluşturabilir ve yayınlayabilir. Bir kurban buna tıklarsa aktarılan veriler kendi bağlamlarında yürütülür (CVE-2024-47590, CVSS) 8.8“Risk”yüksek“). SAP geliştiricileri tarafından yapılan risk değerlendirmesi, “kritik” önem düzeyini az farkla kaçırdı. BT yöneticileri, bu amaç için mevcut olan güncellemeyi hızlı bir şekilde uygulamalıdır.
Diğer SAP güvenlik açıkları
SAP ürünlerindeki altı ek güvenlik açığı, etkilenenler için orta düzeyde risk oluşturuyor. Walldorfer'lar başka bir zayıflığı düşük tehdit seviyesi olarak sınıflandırıyor. Güncellenen iki güvenlik notu, SAP PDCE'deki eksik yetkilendirme kontrolünden kaynaklanan yüksek güvenlik riskini (Temmuz yama gününde düzeltildi) ve Mayıs ayında SAP Banka Hesap Yönetimi'nde yaşanan benzer bir hatadan kaynaklanan düşük riski de ele alıyor.
Bireysel yeni güvenlik uyarıları aşağıdaki ürünlerle ilgilidir:
Ekim ayında SAP, kurumsal ürünlerinde altı yeni güvenlik açığı bildirdi. Ancak bunlardan ikisinin yüksek riskli olduğu değerlendirildi ve hızla ele alınması gerekiyor.
(Bilmiyorum)
Duyuru
SAP, Patchday genel bakışında bireysel güvenlik notlarını listeler. En ciddi sorun, SAP Web Dispatcher'da siteler arası komut dosyası oluşturmadaki boşluktur. Saldırganlar, önceden kaydolmadan kötü amaçlı bir bağlantı oluşturabilir ve yayınlayabilir. Bir kurban buna tıklarsa aktarılan veriler kendi bağlamlarında yürütülür (CVE-2024-47590, CVSS) 8.8“Risk”yüksek“). SAP geliştiricileri tarafından yapılan risk değerlendirmesi, “kritik” önem düzeyini az farkla kaçırdı. BT yöneticileri, bu amaç için mevcut olan güncellemeyi hızlı bir şekilde uygulamalıdır.
Diğer SAP güvenlik açıkları
SAP ürünlerindeki altı ek güvenlik açığı, etkilenenler için orta düzeyde risk oluşturuyor. Walldorfer'lar başka bir zayıflığı düşük tehdit seviyesi olarak sınıflandırıyor. Güncellenen iki güvenlik notu, SAP PDCE'deki eksik yetkilendirme kontrolünden kaynaklanan yüksek güvenlik riskini (Temmuz yama gününde düzeltildi) ve Mayıs ayında SAP Banka Hesap Yönetimi'nde yaşanan benzer bir hatadan kaynaklanan düşük riski de ele alıyor.
Bireysel yeni güvenlik uyarıları aşağıdaki ürünlerle ilgilidir:
- Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı SAP Web DağıtımcısıCVE-2024-47590, CVSS 8.8“Risk”yüksek“
- Check-in yetkilendirmesinin eksik olması SAP NetWeaver AS Java (Sistem Ortamı Dizini), CVE-2024-42372, CVSS 6.5, orta
- Gelen yerel ayrıcalık yükseltme SAP ana bilgisayar aracısıCVE-2024-47595, CVSS 6.3, orta
- Bilgi ifşasındaki güvenlik açıkları SAP NetWeaver Uygulama Sunucusu Java (Giriş Başvurusu), CVE-2024-47592, CVSS 5.3, orta
- NULL işaretçi referansından ayrılma güvenlik açığı ABAP ve ABAP Platformu için SAP NetWeaver Uygulama SunucusuCVE-2024-47586, CVSS 5.3, orta
- Bilgi ifşasındaki güvenlik açıkları SAP NetWeaver Java (yazılım güncelleme yöneticisi)CVE-2024-47588, CVSS 4.7, orta
- Bilgi ifşasındaki güvenlik açıkları ABAP ve ABAP Platformu için SAP NetWeaver Uygulama SunucusuCVE-2024-47593, CVSS 4.3, orta
- Check-in yetkilendirmesinin eksik olması SAP Nakit Yönetimi (nakit operasyonları)CVE-2024-47587, CVSS 3.5, Bas
Ekim ayında SAP, kurumsal ürünlerinde altı yeni güvenlik açığı bildirdi. Ancak bunlardan ikisinin yüksek riskli olduğu değerlendirildi ve hızla ele alınması gerekiyor.
(Bilmiyorum)