SAP Patchday: SAP NetWeaver'daki kritik boşluklar ve diğer güvenlik açıkları

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

Salı sabahı SAP, Haziran yama günü için 15 yeni güvenlik notu yayınladı. Bunlardan bazıları yazılımdaki kritik güvenlik açıklarıyla ilgilidir; bunlardan üçü SAP NetWeaver ile ilgilidir.

Duyurudan sonra devamını okuyun

SAP Patch Day'e genel bakış, NetWeaver Uygulama Sunucusu ABAP ve ABAP Platformunda, kimliği doğrulanmış ve normal haklara sahip saldırganların imzalı mesajlar almasına ve değiştirilmiş imzalı XML belgelerini “doğrulayıcıya” göndermesine olanak tanıyan bir güvenlik açığını vurguluyor. Bu durum, sahte kimlik bilgilerinin kabul edilmesine ve saldırganların hassas kullanıcı verilerine yetkisiz erişim sağlamasına ve sistemin normal kullanımının aksamasına neden olabilir (CVE-2026-44748, CVSS) 9.9risk”eleştirmen“).

Saldırganlar ayrıca NetWeaver Uygulama Sunucusu ABAP ve ABAP platformunun SAP çekirdeğindeki yetersiz RFC protokol denetimini, önceden kimlik doğrulaması olmadan manipüle edilmiş paketlerle bellek yönetiminde mantıksal hataları tetiklemek için kötüye kullanabilir. SAP, uygulamanın gizliliğini, bütünlüğünü ve kullanılabilirliğini etkilemekten bahsediyor. Ciddiyeti nedeniyle bu yalnızca bir DoS güvenlik açığı değil, aynı zamanda kötü amaçlı kod yerleştirme güvenlik açığı gibi görünüyor (CVE-2026-27671, CVSS) 9.8risk”eleştirmen“).

Saldırganlar, SAP NetWeaver Uygulama Sunucusu Java'da (Web Container), dosya dahil etme parametrelerini değiştiren bir HTTP erişim isteği oluşturabilir, böylece yol geçişini kullanarak sağlanan dosyanın işlenmesini başlatabilir. Bu, potansiyel olarak saldırganların hassas bilgileri görüntülemesine veya değiştirmesine olanak tanıyabilir ve sistemi sekteye uğratabilir (CVE-2026-40128, CVSS 9.0risk”eleştirmen“). Spring Security'de belirli HTTP başlıklarını kötüye kullanabilecek bir güvenlik açığı SAP Commerce Cloud ve SAP Data Hub'ı da etkiler (CVE-2026-22732, CVSS) 9.1risk”eleştirmen“).

Diğer daha az ciddi güvenlik açıkları

SAP'nin ayrıca ek güvenlik sızıntılarına yönelik güncellemeleri de var. SAP, Yama Gününe Genel Bakış'ta güvenlik notlarını ve ilgili güncellemeleri birbirine bağlar. Yöneticiler, güvenlik açığı bulunan SAP yazılımını kullanıp kullanmadıklarını kontrol etmeli ve mevcut güncellemeleri hızlı bir şekilde uygulamalıdır.

  • SAP Commerce Cloud'da Apache Tomcat,
  • SAP NetWeaver ve ABAP platformundan ABAP uygulama sunucusu,
  • ODP veri çoğaltma API'si,
  • SAPS/4HANA,
  • SAP NetWeaver AS Java (JDBC test sunucu uygulaması),
  • SAP Wily Introskop Kurumsal Yöneticisi,
  • SAP MDG (Eşleşme Grubu İnceleme Uygulaması),
  • SAP Business Objects İş Zekası platformu,
  • SAP Fiori (başlatma paneli),
  • SAP Business Objects e
  • SAP NetWeaver AS Java

Duyurudan sonra devamını okuyun

SAP ayrıca Mayıs ayındaki Patchday sırasında 15 güvenlik açığını da giderdi. Bunlardan ikisinin kritik olduğu değerlendirildi ve yetkisiz kişilerin oturum açmasına veya SQL enjeksiyon saldırıları gerçekleştirmesine izin verildi.


(Bilmiyorum)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir