SAP, Aralık ayındaki Yama Günü için dokuz yeni güvenlik önerisi yayınladı. Walldorf merkezli şirket ayrıca dört eski güvenlik açığı raporunu da güncelliyor. Bir güvenlik açığı kritik bir güvenlik riskini temsil eder: BT yöneticileri mevcut güncellemeleri hızlı bir şekilde uygulamalıdır.
Duyuru
Patchday genel bakışında SAP, geliştiricilerin Aralık ayındaki güncellemelerle gidereceği güvenlik açıklarını listeliyor. En ciddi güvenlik açığı SAP NetWeaver AS for Java'yı etkiliyor veya daha doğrusu Adobe Belge Hizmetleri'nde üç boşluk var. Yönetici haklarına sahip saldırganlar, savunmasız web uygulamaları aracılığıyla manipüle edilmiş istekler gönderebilir ve böylece güvenlik duvarları tarafından korunan sistemlere yanlışlıkla erişebilir. Bu sunucu tarafı istek sahteciliğinden yararlanarak, rastgele dosyaları okuyabilir veya değiştirebilirler ve tüm sistemi sakatlayabilirler (CVE-2024-47578, CVSS) 9.1“Risk”eleştirmen“).Diğer iki açığın her birinin CVSS değeri 6,8 olup orta riskli olarak sınıflandırılmaktadır.
SAP: Yüksek riskli güvenlik açıklarını da kapatın
SAP NetWeaver Uygulama Sunucusu ABAP'taki uzaktan işlev çağrısı aracılığıyla kayıtlı saldırganlar, uzaktan hizmet oturum açma verileri gibi bilgilere yetkisiz erişim sağlayabilir. Bu onların bu hizmetlerden tamamen ödün vermelerine olanak tanır (CVE-2024-54198, CVSS 8.5, yüksek). Ayrıca SAP NetWeaver Administrator'daki (Sisteme Genel Bakış) bir güvenlik açığı, sunucu tarafı istek sahteciliğine de izin verir (CVE-2024-54197, CVSS) 7.2, yüksek).
Geliştiriciler diğer güvenlik açıklarını orta veya düşük tehdit olarak sınıflandırdılar. Ancak BT yöneticilerinin mevcut güncellemeleri yükleyerek güvenlik açıklarını derhal kapatması gerekir. Aralık Yaması Salı günü düzeltilen güvenlik açıklarının tam listesi:
- JAVA (Adobe Belge Hizmetleri), CVSS için SAP NetWeaver AS'de birden fazla güvenlik açığı 9.1, eleştirmen
- SAP NetWeaver Uygulama Sunucusu ABAP, CVSS'de Uzaktan İşlev Çağrısı (RFC) Bilgisinin Açıklanması Güvenlik Açığı 8.5, yüksek
- SAP NetWeaver Administrator'da (Sisteme Genel Bakış), CVSS'de Sunucu Tarafı İstek Sahteciliği 7.2, yüksek
- SAP NetWeaver AS JAVA, CVSS'de XML varlık genişletmesindeki güvenlik açığı 5.3, orta
- SAP BusinessObjects Business Intelligence platformu CVSS'deki bilgilerin açığa çıkması güvenlik açığı 5.3, orta
- ABAP ve ABAP Platformu CVSS için SAP NetWeaver Uygulama Sunucusunda eksik yetkilendirme kontrolü 4.3, orta
- SAP HCM'de (Zaman Çizelgesi Onayı Sürüm 4), CVSS'de eksik yetkilendirme kontrolü 4.3, orta
- SAP Product Lifecycle Costing, CVSS'de DLL kaçırma güvenlik açığı 3.3, Bas
- SAP Commerce Cloud, CVSS'deki bilgilerin ifşa edilmesine yönelik güvenlik açıkları 2.7, Bas
Geliştiriciler ayrıca aşağıdaki güvenlik açıklarına yönelik güvenlik önerilerini de güncelledi:
- SAP Web Dispatcher, CVSS'de Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı 8.8, yüksekKasım ayından beri
- ABAP ve ABAP Platformu CVSS için SAP NetWeaver Uygulama Sunucusunda NULL İşaretçi Referansı Güvenlik Açığı 7.5, yüksekKasım ayından beri
- SAP BusinessObjects Business Intelligence platformu CVSS'de birden fazla sınırsız dosya yükleme güvenlik açığı 4.3, orta
- SAP BusinessObjects Business Intelligence platformu CVSS'de birden fazla sınırsız dosya yükleme güvenlik açığı 4.3, orta
Kasım ayındaki Yama Günü'nde SAP, sekiz yeni güvenlik açığını yamaladı ve iki eski güvenlik açığı için güvenlik bildirimlerini düzeltti.
(Bilmiyorum)
Bir yanıt yazın