Bezpieczny wtorek ze SNOK: Kluczowe aktualizacje z kwietniowego SAP Security Patch Day 

Bezpieczny wtorek ze SNOK: Kluczowe aktualizacje z kwietniowego SAP Security Patch Day 

Bezpieczny wtorek ze SNOK: Kluczowe aktualizacje z kwietniowego SAP Security Patch Day 

9 kwietnia odbył się kolejny SAP Security Patch Day, przynosząc na światło dzienne 10 nowych notatek bezpieczeństwa oraz 2 aktualizacje wcześniej wydanych notatek. W tym miesiącu skupiamy się na szczegółach tych aktualizacji, które mają kluczowe znaczenie dla ochrony systemów SAP w Twojej organizacji.

Kluczowe aktualizacje

Wysokie zagrożenie

  • [CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine (CVSS: 8.8) – dotyczy SAP NetWeaver AS Java User Management Engine w wersjach SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50. Ta luka może pozwolić na nieautoryzowany dostęp do wrażliwych danych.
  • [CVE-2024-25646] Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence (CVSS: 7.7) – wpływa na wersje 4.2 i 4.3. Umożliwia nieuprawnionym osobom dostęp do chronionych informacji.
  • [CVE-2024-27901] Directory Traversal vulnerability in SAP Asset Accounting (CVSS: 7.2) – dotyczy wielu wersji SAP_APPL oraz SAP_FIN. Atakujący mogą wykorzystać tę lukę, aby uzyskać dostęp do plików systemowych poza oczekiwanym katalogiem.

Średnie zagrożenie

  • Stack overflow vulnerability on the component images of SAP Integration Suite (EDGE INTEGRATION CELL) (CVSS: 6.8) – dotyczy wersji starszych niż 8.13.5. Może prowadzić do odmowy usługi (DoS) poprzez przeciążenie stosu.
  • [CVE-2024-30218] Denial of service (DOS) vulnerability in SAP NetWeaver AS ABAP and ABAP Platform (CVSS: 6.5) – wpływa na szeroki zakres wersji KERNEL. Umożliwia atakującym zakłócenie normalnego działania systemu.

Dlaczego to ważne? 

Regularne aktualizacje bezpieczeństwa są niezbędne do ochrony przed potencjalnymi atakami i naruszeniami danych. Zrozumienie i szybka reakcja na nowe luki bezpieczeństwa są kluczowe dla utrzymania stabilności i bezpieczeństwa środowisk IT.

Jak SNOK może pomóc?

W SNOK oferujemy wsparcie w szybkim reagowaniu na nowe luki bezpieczeństwa, dzięki naszym usługom w zakresie SAP BASIS, analizy SAP oraz cyberbezpieczeństwa SAP. Nasza wiedza techniczna i doświadczenie pozwalają na zapewnienie kompleksowego wsparcia w łataniu luk bezpieczeństwa, zapewniając spokój ducha naszym klientom.

Podsumowanie

Kwietniowy SAP Security Patch Day przyniósł istotne aktualizacje, które wymagają natychmiastowej uwagi. Dzięki naszemu zaangażowaniu w zapewnienie najwyższego poziomu ochrony, pomagamy naszym klientom w utrzymaniu bezpiecznych i stabilnych systemów SAP. Cyberbezpieczeństwo to proces ciągły, wymagający regularnej aktualizacji i czujności.

Jeśli potrzebujesz wsparcia w związku z najnowszymi aktualizacjami bezpieczeństwa SAP, skontaktuj się z nami. Razem zapewnimy, że Twoje środowisko SAP pozostanie bezpieczne i niezawodne.

Note# Title Severity CVSS
3434839 [CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine
Product – SAP NetWeaver AS Java User Management Engine, Versions – SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50
High 8.8
3421384 [CVE-2024-25646] Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence Product – SAP BusinessObjects Web Intelligence, Versions – 4.2, 4.3 High 7.7
3438234 [CVE-2024-27901] Directory Traversal vulnerability in SAP Asset Accounting Product- SAP Asset Accounting, Versions – SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618, SAP_FIN700 High 7.2
3442741 Stack overflow vulnerability on the component images of SAP Integration Suite (EDGE INTEGRATION CELL) Product – SAP Edge Integration Cell, Versions older than 8.13.5 Medium 6.8
3359778 [CVE-2024-30218] Denial of service (DOS) vulnerability in SAP NetWeaver AS ABAP and ABAP Platform Product – SAP NetWeaver AS ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.93 Medium 6.5
3442378 [CVE-2024-28167] Missing Authorization check in SAP Group Reporting Data Collection (Enter Package Data) Product – SAP Group Reporting Data Collection (Enter Package Data), Versions – S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108, SAP_GRDC_CLOUD 1.0.0 Medium 6.5
3164677 Update to Security Note released on May 2022 Patch Day: [CVE-2022-29613] Information Disclosure vulnerability in SAP Employee Self Service(Fiori My Leave Request)
Product - SAP Employee Self Service (Fiori My Leave Request), Version – 605
Medium 6.5
3156972 Update to Security Note released on August 2023 Patch Day: [CVE-2023-40306] URL Redirection vulnerability in SAP S/4HANA (Manage Catalog Items and Cross-Catalog search)
Product - SAP S/4HANA (Manage Catalog Items and Cross-Catalog search), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106
Medium 6.1
3425188 [CVE-2024-27898] Server-Side Request Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear)
Product – SAP NetWeaver, Version – 7.50
Medium 5.3
3421453 [Multiple CVEs] Cross-Site Scripting (XSS) vulnerabilities in SAP Business Connector CVEs – CVE-2024-30214, CVE-2024-30215
Product – SAP Business Connector, Version – 4.8
Medium 4.8
3427178 [CVE-2024-30216] Missing Authorization check in SAP S/4 HANA (Cash Management)
Product – SAP S/4 HANA (Cash Management), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108
Medium 4.3
3430173 [CVE-2024-30217] Missing Authorization check in SAP S/4 HANA (Cash Management)  Product - SAP S/4 HANA (Cash Management), Versions – S4CORE 106, S4CORE 107, S4CORE 108 Medium 4.3