SAP’nin Nisan yama günü, Walldorf’un ürünlerindeki 19 güvenlik açığını kapatmak için güvenlik notları ve ardından yazılım güncellemeleri getiriyor. Geliştiriciler, boşluklardan ikisini kritik (“Sıcak Haberler”) olarak sınıflandırıyor. SAP’ye göre bir güvenlik açığı daha yüksek risk taşırken, 13’ü orta, üçü ise düşük tehdit düzeyine sahip. Geliştiriciler, önceki beş Saha Güvenliği Notunu daha yeni bilgilerle güncelledi.
SAP: Kritik güvenlik açıkları
Dosyada kritik güvenlik açıklarından biri bulundu SAP teşhis aracısı. Kimlik doğrulama ve giriş filtreleme eksikliği nedeniyle, EventLogService Toplayıcı bağlı tüm Windows tanı aracılarında kötü amaçlı komut dosyaları çalıştıran bir saldırgan. Başarıyla istismar edilirse, saldırganlar sistem gizliliğini, bütünlüğünü ve kullanılabilirliğini tamamen tehlikeye atabilir (CVE-2023-27497, CVSS 10.0risk”eleştirmen“).
Saldırganlar ayrıca bilgilere erişebilir SAP BusinessObjects İş Zekası platformu erişim. Özellikle, basit haklara sahip kullanıcılar, lcmbiar– Dosyayı alın ve daha fazla şifresini çözün. Bu, SAP Business Intelligence kullanıcı parolalarına erişmelerine ve kullanıcının ayrıcalıklarına bağlı olarak uygulamayı tamamen tehlikeye atabilecek işlemler gerçekleştirmelerine olanak tanır (CVE-2023-28765, CVSS 9.8, eleştirmen).
SAP geliştiricileri, bir dizin geçiş boşluğunun yüksek bir risk olduğunu düşünüyor Netweaver SAP, saldırganların SAP sunucusuna dosya yüklemesine ve dosyaların üzerine yazmasına olanak tanır. Herhangi bir veriyi okumak mümkün olmasa da, ağ saldırganları yönetici haklarına sahipse, işletim sisteminin kritik dosyalarının üzerine yazarak onu bozabilir (CVE-2023-29186, CVSS) 8.7, yüksek).
Daha fazla boşluk bulunabilir SAP peyzaj yönetimi, SAP yapılandırması, SAP Netweaver şirket portalı, ABAP ve ABAP platformu için SAP Netweaver AS, HTML için SAP GUI, SAP CRM’si, SAP CRM web istemcisi kullanıcı arabirimi, Dağıtım hizmeti için SAP NetWeaver AS Java, ABAP için SAP NetWeaver AS (Kurumsal Sunucu Sayfaları), ABAP platformu ve SAP Web Dispatcher, SAP Ticaret, SAP Uygulama Arayüzü Çerçevesi birlikte SAP HCM uygulaması Fiori Formlarım.
SAP, yama gününe genel bakışta daha fazla ayrıntıyı birbirine bağlar. BT yöneticileri, SAP Launchpad’de daha fazla bilgi bulabilir ve güncellemeleri tanıdık yöntemlerle indirip uygulayabilir. Bazı güvenlik açıkları kritik ve yüksek riskli olarak sınıflandırıldığından, yöneticilerin bunlarla fazla zaman kaybetmemesi gerekir.
Bu yılın Mart ayında SAP ayrıca 19 güvenlik açığını yamaladı. Ancak üretici, bu kritik güvenlik risklerinden beşini değerlendirmiştir.
(dmk)
Haberin Sonu
SAP: Kritik güvenlik açıkları
Dosyada kritik güvenlik açıklarından biri bulundu SAP teşhis aracısı. Kimlik doğrulama ve giriş filtreleme eksikliği nedeniyle, EventLogService Toplayıcı bağlı tüm Windows tanı aracılarında kötü amaçlı komut dosyaları çalıştıran bir saldırgan. Başarıyla istismar edilirse, saldırganlar sistem gizliliğini, bütünlüğünü ve kullanılabilirliğini tamamen tehlikeye atabilir (CVE-2023-27497, CVSS 10.0risk”eleştirmen“).
Saldırganlar ayrıca bilgilere erişebilir SAP BusinessObjects İş Zekası platformu erişim. Özellikle, basit haklara sahip kullanıcılar, lcmbiar– Dosyayı alın ve daha fazla şifresini çözün. Bu, SAP Business Intelligence kullanıcı parolalarına erişmelerine ve kullanıcının ayrıcalıklarına bağlı olarak uygulamayı tamamen tehlikeye atabilecek işlemler gerçekleştirmelerine olanak tanır (CVE-2023-28765, CVSS 9.8, eleştirmen).
SAP geliştiricileri, bir dizin geçiş boşluğunun yüksek bir risk olduğunu düşünüyor Netweaver SAP, saldırganların SAP sunucusuna dosya yüklemesine ve dosyaların üzerine yazmasına olanak tanır. Herhangi bir veriyi okumak mümkün olmasa da, ağ saldırganları yönetici haklarına sahipse, işletim sisteminin kritik dosyalarının üzerine yazarak onu bozabilir (CVE-2023-29186, CVSS) 8.7, yüksek).
Daha fazla boşluk bulunabilir SAP peyzaj yönetimi, SAP yapılandırması, SAP Netweaver şirket portalı, ABAP ve ABAP platformu için SAP Netweaver AS, HTML için SAP GUI, SAP CRM’si, SAP CRM web istemcisi kullanıcı arabirimi, Dağıtım hizmeti için SAP NetWeaver AS Java, ABAP için SAP NetWeaver AS (Kurumsal Sunucu Sayfaları), ABAP platformu ve SAP Web Dispatcher, SAP Ticaret, SAP Uygulama Arayüzü Çerçevesi birlikte SAP HCM uygulaması Fiori Formlarım.
SAP, yama gününe genel bakışta daha fazla ayrıntıyı birbirine bağlar. BT yöneticileri, SAP Launchpad’de daha fazla bilgi bulabilir ve güncellemeleri tanıdık yöntemlerle indirip uygulayabilir. Bazı güvenlik açıkları kritik ve yüksek riskli olarak sınıflandırıldığından, yöneticilerin bunlarla fazla zaman kaybetmemesi gerekir.
Bu yılın Mart ayında SAP ayrıca 19 güvenlik açığını yamaladı. Ancak üretici, bu kritik güvenlik risklerinden beşini değerlendirmiştir.
(dmk)
Haberin Sonu