SAP kurulum yöneticileri bu hafta Salı günü işe başlayacak: SAP, şirketin ürünlerindeki 15 güvenlik açığı hakkında uyarı yayınladı. Bunlardan bazıları, kötü amaçlı kodların girişine izin veren kritik güvenlik açıklarıdır. Bu nedenle mevcut güncellemelerin hızla uygulanması önerilir.
Duyurudan sonra devamını okuyun
SAP, Mart Patchday genel bakış sayfasında 15 güvenlik duyurusunu listeliyor. Geliştiriciler genel olarak iki güvenlik açığını kritik, birini yüksek riskli, on birini orta riskli ve birini düşük riskli olarak sınıflandırıyor.
SAP: Kritik Güvenlik Açıkları
SAP Quotation Management Insurance Application'daki (FS-QUO) kod kaçakçılığı güvenlik açığı, Log4j'deki SocketServer sınıfındaki bir güvenlik açığına dayanmaktadır. Bu, güvenilmeyen verileri seri durumdan çıkarır ve ağa kötü amaçlı kod eklemek ve yürütmek için kötüye kullanılabilir. Bu, Log4Shell adı verilen ve 2021'in sonlarından bu yana İnternet'in başına bela olan güvenlik açığı değil. Daha da eski ve 2019'da kamuya açık hale geldi (CVE-2019-17571, CVSS) 9.8risk”eleştirmen“).
NetWeaver Enterprise Portal'ın yönetiminde, sistemdeki ayrıcalıklı kullanıcıların güvenilmeyen veya kötü amaçlı içerik yükleyerek kötüye kullanabileceği bir güvenlik açığı bulunmaktadır. SAP, güvenlik açığı açıklamasında (CVE-2026-27685, CVSS) bunların seri durumdan çıkarma sırasında yürütüldüğünü ve “ana sistemin güvenilirliği, bütünlüğü ve kullanılabilirliği üzerinde güçlü bir etkiye sahip olduğunu” açıklıyor. 9.1risk”eleştirmen“).
Saldırganlar, hizmet reddi (DoS) saldırısı gerçekleştirmek için SAP'nin tedarik zinciri yönetimindeki bir güvenlik açığından yararlanabilir. Belirsiz bir işlevi aşırı büyük bir döngü kontrol parametresiyle tekrar tekrar çağırarak, sistem artık kullanılamaz hale gelene kadar genişletilmiş döngü yürütmeleri yoluyla sistem kaynaklarını büyük ölçüde tüketebilirler (CVE-2026-27689, CVSS) 7.7risk”yüksek“).
Tehdit düzeyi daha düşük olan diğer güvenlik kusurları ABAP için SAP NetWeaver Uygulama Sunucusu, SAP NetWeaver (Geri Bildirim Bildirimi), SAP Business One (İş Hizmeti), SAP Business Warehouse (Service API), SAP S/4HANA HCM Portekiz ve SAP ERP HCM Portekiz, SAP Müşteri Ödemesi 2.0, Windows için SAP GUI, SAP Çözüm Araçları Eklentisi (ST-PI) ve SAP NetWeaver AS Java (Adobe Belge Hizmetleri) ile ilgilidir.
Duyurudan sonra devamını okuyun
Bu yılın şubat ayında SAP, Salı Yaması için 26 kadar güvenlik önerisi yayınladı. Bunlardan ikisi kritik güvenlik riskleri olarak değerlendirildi.
(Bilmiyorum)
Bir yanıt yazın