SAP, Haziran ayının yama gününde yeni keşfedilen on güvenlik açığına ilişkin güvenlik notları yayınladı. Bunlardan ikisi “yüksek” risk derecesi alan güvenlik açıklarıyla ilgilidir.
Duyuru
SAP'ye göre en ciddi olanı SAP Finansal Konsolidasyon'daki sızıntıdır. Saldırganlar, güvenilmeyen kaynaklardan bir web uygulamasına veri enjekte edebilir. Ağdaki uç noktalar erişilebilir olduğundan kullanıcılar web sitesi üzerinden içeriği düzenleyebilir. Gizlilik ve bütünlük üzerindeki etkisi önemlidir (CVE-2024-37177, CVSS 8.1“Risk”yüksek“). Ayrıca, kötü niyetli aktörler SAP NetWeaver AS Java'da hizmet reddine neden olabilir, bu da meşru kullanıcıların artık hizmete erişemeyeceği anlamına gelir (CVE-2024-34688, CVSS) 7.5, yüksek).
Diğer SAP ürünlerindeki güvenlik boşlukları
Orta risk düzeyindeki güvenlik açıkları ayrıca SAP NetWeaver ve ABAP Platformu, SAP Document Builder (HTTP hizmeti), SAP S/4HANA (Gelen Ödeme Dosya Yönetimi), SAP CRM (WebClient UI), SAP BW/4HANA Transformation ve DTP'de de bulunuyor. SAP Öğrenci Yaşam Döngüsü Yönetimi (SLcM) ve SAP NetWeaver AS Java (Sihirbazlar). Ayrıca SAP BusinessObjects Business Intelligence Platform'da (Scheduling) yetkisiz bilgilerin ifşa edilmesine olanak verebilecek düşük riskli bir güvenlik açığı bulunmaktadır.
SAP ayrıca önceki güvenlik notlarını da güncelledi. SAP NetWeaver Uygulama Sunucusu ABAP ve ABAP Platformundaki bir güvenlik açığına ilişkin uyarı ilk olarak Mayıs ayında geldi ve temel finansal altyapı bileşenlerindeki bir güvenlik açığına ilişkin Haziran 2018 raporu da güncellendi.
BT yöneticileri, siber saldırılara yönelik saldırı yüzeyini azaltmak için kullandıkları hassas SAP yazılımlarını derhal planlamalı ve güncellemelidir.
Mayıs ayındaki Yama Günü'nde SAP, portföyündeki çeşitli ürünlerdeki 14 güvenlik açığını bile giderdi. Saldırganlar bunları kötü amaçlı kod enjekte etmek için kullanmış olabilir.
(Bilmiyorum)
Haberin Sonu
Duyuru
SAP'ye göre en ciddi olanı SAP Finansal Konsolidasyon'daki sızıntıdır. Saldırganlar, güvenilmeyen kaynaklardan bir web uygulamasına veri enjekte edebilir. Ağdaki uç noktalar erişilebilir olduğundan kullanıcılar web sitesi üzerinden içeriği düzenleyebilir. Gizlilik ve bütünlük üzerindeki etkisi önemlidir (CVE-2024-37177, CVSS 8.1“Risk”yüksek“). Ayrıca, kötü niyetli aktörler SAP NetWeaver AS Java'da hizmet reddine neden olabilir, bu da meşru kullanıcıların artık hizmete erişemeyeceği anlamına gelir (CVE-2024-34688, CVSS) 7.5, yüksek).
Diğer SAP ürünlerindeki güvenlik boşlukları
Orta risk düzeyindeki güvenlik açıkları ayrıca SAP NetWeaver ve ABAP Platformu, SAP Document Builder (HTTP hizmeti), SAP S/4HANA (Gelen Ödeme Dosya Yönetimi), SAP CRM (WebClient UI), SAP BW/4HANA Transformation ve DTP'de de bulunuyor. SAP Öğrenci Yaşam Döngüsü Yönetimi (SLcM) ve SAP NetWeaver AS Java (Sihirbazlar). Ayrıca SAP BusinessObjects Business Intelligence Platform'da (Scheduling) yetkisiz bilgilerin ifşa edilmesine olanak verebilecek düşük riskli bir güvenlik açığı bulunmaktadır.
SAP ayrıca önceki güvenlik notlarını da güncelledi. SAP NetWeaver Uygulama Sunucusu ABAP ve ABAP Platformundaki bir güvenlik açığına ilişkin uyarı ilk olarak Mayıs ayında geldi ve temel finansal altyapı bileşenlerindeki bir güvenlik açığına ilişkin Haziran 2018 raporu da güncellendi.
BT yöneticileri, siber saldırılara yönelik saldırı yüzeyini azaltmak için kullandıkları hassas SAP yazılımlarını derhal planlamalı ve güncellemelidir.
Mayıs ayındaki Yama Günü'nde SAP, portföyündeki çeşitli ürünlerdeki 14 güvenlik açığını bile giderdi. Saldırganlar bunları kötü amaçlı kod enjekte etmek için kullanmış olabilir.
(Bilmiyorum)
Haberin Sonu