9 kwietnia odbył się kolejny SAP Security Patch Day, przynosząc na światło dzienne 10 nowych notatek bezpieczeństwa oraz 2 aktualizacje wcześniej wydanych notatek. W tym miesiącu skupiamy się na szczegółach tych aktualizacji, które mają kluczowe znaczenie dla ochrony systemów SAP w Twojej organizacji.
Kluczowe aktualizacje
Wysokie zagrożenie
- [CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine (CVSS: 8.8) – dotyczy SAP NetWeaver AS Java User Management Engine w wersjach SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50. Ta luka może pozwolić na nieautoryzowany dostęp do wrażliwych danych.
- [CVE-2024-25646] Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence (CVSS: 7.7) – wpływa na wersje 4.2 i 4.3. Umożliwia nieuprawnionym osobom dostęp do chronionych informacji.
- [CVE-2024-27901] Directory Traversal vulnerability in SAP Asset Accounting (CVSS: 7.2) – dotyczy wielu wersji SAP_APPL oraz SAP_FIN. Atakujący mogą wykorzystać tę lukę, aby uzyskać dostęp do plików systemowych poza oczekiwanym katalogiem.
Średnie zagrożenie
- Stack overflow vulnerability on the component images of SAP Integration Suite (EDGE INTEGRATION CELL) (CVSS: 6.8) – dotyczy wersji starszych niż 8.13.5. Może prowadzić do odmowy usługi (DoS) poprzez przeciążenie stosu.
- [CVE-2024-30218] Denial of service (DOS) vulnerability in SAP NetWeaver AS ABAP and ABAP Platform (CVSS: 6.5) – wpływa na szeroki zakres wersji KERNEL. Umożliwia atakującym zakłócenie normalnego działania systemu.
Dlaczego to ważne?
Regularne aktualizacje bezpieczeństwa są niezbędne do ochrony przed potencjalnymi atakami i naruszeniami danych. Zrozumienie i szybka reakcja na nowe luki bezpieczeństwa są kluczowe dla utrzymania stabilności i bezpieczeństwa środowisk IT.
Jak SNOK może pomóc?
W SNOK oferujemy wsparcie w szybkim reagowaniu na nowe luki bezpieczeństwa, dzięki naszym usługom w zakresie SAP BASIS, analizy SAP oraz cyberbezpieczeństwa SAP. Nasza wiedza techniczna i doświadczenie pozwalają na zapewnienie kompleksowego wsparcia w łataniu luk bezpieczeństwa, zapewniając spokój ducha naszym klientom.
Podsumowanie
Kwietniowy SAP Security Patch Day przyniósł istotne aktualizacje, które wymagają natychmiastowej uwagi. Dzięki naszemu zaangażowaniu w zapewnienie najwyższego poziomu ochrony, pomagamy naszym klientom w utrzymaniu bezpiecznych i stabilnych systemów SAP. Cyberbezpieczeństwo to proces ciągły, wymagający regularnej aktualizacji i czujności.
Jeśli potrzebujesz wsparcia w związku z najnowszymi aktualizacjami bezpieczeństwa SAP, skontaktuj się z nami. Razem zapewnimy, że Twoje środowisko SAP pozostanie bezpieczne i niezawodne.
Note# | Title | Severity | CVSS |
3434839 | [CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine Product – SAP NetWeaver AS Java User Management Engine, Versions – SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50 |
High | 8.8 |
3421384 | [CVE-2024-25646] Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence Product – SAP BusinessObjects Web Intelligence, Versions – 4.2, 4.3 | High | 7.7 |
3438234 | [CVE-2024-27901] Directory Traversal vulnerability in SAP Asset Accounting Product- SAP Asset Accounting, Versions – SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618, SAP_FIN700 | High | 7.2 |
3442741 | Stack overflow vulnerability on the component images of SAP Integration Suite (EDGE INTEGRATION CELL) Product – SAP Edge Integration Cell, Versions older than 8.13.5 | Medium | 6.8 |
3359778 | [CVE-2024-30218] Denial of service (DOS) vulnerability in SAP NetWeaver AS ABAP and ABAP Platform Product – SAP NetWeaver AS ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.93 | Medium | 6.5 |
3442378 | [CVE-2024-28167] Missing Authorization check in SAP Group Reporting Data Collection (Enter Package Data) Product – SAP Group Reporting Data Collection (Enter Package Data), Versions – S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108, SAP_GRDC_CLOUD 1.0.0 | Medium | 6.5 |
3164677 | Update to Security Note released on May 2022 Patch Day: [CVE-2022-29613] Information Disclosure vulnerability in SAP Employee Self Service(Fiori My Leave Request) Product - SAP Employee Self Service (Fiori My Leave Request), Version – 605 |
Medium | 6.5 |
3156972 | Update to Security Note released on August 2023 Patch Day: [CVE-2023-40306] URL Redirection vulnerability in SAP S/4HANA (Manage Catalog Items and Cross-Catalog search) Product - SAP S/4HANA (Manage Catalog Items and Cross-Catalog search), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106 |
Medium | 6.1 |
3425188 | [CVE-2024-27898] Server-Side Request Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear) Product – SAP NetWeaver, Version – 7.50 |
Medium | 5.3 |
3421453 | [Multiple CVEs] Cross-Site Scripting (XSS) vulnerabilities in SAP Business Connector CVEs – CVE-2024-30214, CVE-2024-30215 Product – SAP Business Connector, Version – 4.8 |
Medium | 4.8 |
3427178 | [CVE-2024-30216] Missing Authorization check in SAP S/4 HANA (Cash Management) Product – SAP S/4 HANA (Cash Management), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108 |
Medium | 4.3 |
3430173 | [CVE-2024-30217] Missing Authorization check in SAP S/4 HANA (Cash Management) Product - SAP S/4 HANA (Cash Management), Versions – S4CORE 106, S4CORE 107, S4CORE 108 | Medium | 4.3 |