Lutowy SAP Patch Day to moment, w którym branża IT z wypiekami na twarzach śledzi najnowsze aktualizacje bezpieczeństwa od SAP. W tym roku nie było inaczej, a luty przyniósł nam aż dwadzieścia sześć nowych i zaktualizowanych notatek bezpieczeństwa, w tym jedną notatkę HotNews i pięć notatek o wysokim priorytecie. Dla specjalistów od SAP, takich jak my w SNOK, jest to kluczowy moment, aby zapewnić, że systemy naszych klientów są zabezpieczone przed najnowszymi zagrożeniami.
Co nowego w lutym?
Wśród wydań znalazła się notatka HotNews dotycząca SAP Business Client, która załatała pięćdziesiąt cztery luki w Chromium, w tym dwadzieścia dwa patche o wysokim priorytecie. Najwyższy wynik CVSS spośród wszystkich załatanych luk to 8.8, co pokazuje, jak poważne mogą być te zagrożenia.
Jednak to nie wszystko. Dwie z pięciu notatek o wysokim priorytecie to zaktualizowane wersje wcześniej wydanych notatek, które po raz pierwszy pojawiły się w grudniu. Dotyczą one m.in. SAP Host Agent i SAP Business Planning and Consolidation, gdzie najpoważniejsza luka umożliwiała wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami administratora.
Szczegóły nowych notatek o wysokim priorytecie
Wśród nowych notatek o wysokim priorytecie znalazła się jedna, która dotyczyła SAP Host Agent. Luka ta pozwalała nieautoryzowanemu użytkownikowi z lokalnym dostępem do portu serwera przypisanego do usługi SAP Host Agent na wysłanie specjalnie spreparowanego żądania usługi sieciowej z dowolnym poleceniem systemu operacyjnego, które było wykonywane z uprawnieniami administratora. To poważne zagrożenie dla poufności, integralności i dostępności systemu.
Dlaczego to ważne dla SNOK i naszych klientów?
Jako złoty partner SAP w SNOK doskonale rozumiemy znaczenie utrzymania najwyższego poziomu bezpieczeństwa systemów naszych klientów. Lutowy SAP Patch Day to przypomnienie o ciągłej potrzebie monitorowania i aktualizacji systemów w celu ochrony przed nowymi i ewoluującymi zagrożeniami.
Jak SNOK pomaga klientom w zarządzaniu patchami?
W SNOK oferujemy kompleksowe usługi w zakresie SAP BASIS, analiz SAP, cyberbezpieczeństwa i pentestów SAP oraz zaufanego doradztwa w tych dziedzinach. Nasze doświadczenie i partnerstwa pozwalają nam nie tylko śledzić najnowsze aktualizacje bezpieczeństwa od SAP, ale także efektywnie zarządzać i implementować te aktualizacje w systemach naszych klientów.
Podsumowanie
Lutowy SAP Patch Day przyniósł szereg ważnych aktualizacji, które mają na celu ochronę systemów SAP przed najnowszymi zagrożeniami. W SNOK dbamy o to, żeby nasze usługi i rozwiązania były zawsze na bieżąco z najlepszymi praktykami bezpieczeństwa, aby nasi klienci mogli skupić się na swojej działalności, wiedząc, że ich systemy są bezpieczne.
W dzisiejszych czasach, kiedy cyberzagrożenia ewoluują z dnia na dzień, nie można lekceważyć znaczenia regularnych aktualizacji bezpieczeństwa.
Zachęcamy wszystkich administratorów SAP do regularnego monitorowania wydań SAP Patch Day i wdrażania zalecanych aktualizacji. Pamiętajcie, że bezpieczeństwo systemów to proces, a nie jednorazowe działanie. W SNOK jesteśmy tutaj, aby wspierać Was w tym procesie, oferując naszą wiedzę, doświadczenie i dedykowane usługi.
Dodatek – szczegółowe noty z lutowego SAP Patch Day
SAP Note | Type | Description | Priority | CVSS |
2622660 | Update | Security updates for the browser control Google Chromium delivered with SAP Business Client BC-FES-BUS-DSKK | HotNews | 10,0 |
3271091 | Update | [CVE-2022-41268] Privilege escalation vulnerability in SAP Business Planning and Consolidation EPM-BPC-NW | High | 8,5 |
3256787 | New | [CVE-2023-24530] Unrestricted Upload of File in SAP BusinessObjects Business Intelligence Platform (CMC) BI-BIP-CMC | High | 8,4 |
3287291 | New | [CVE-2023-23854] Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform BC-DWB-TOO-ABA | Low | 3,8 |
3285757 | New | [CVE-2023-24523] Privilege Escalation vulnerability in SAP Host Agent (Start Service) BC-CCM-HAG | High | 8,8 |
2788178 | New | [CVE-2023-24525] Cross-Site Scripting (XSS) vulnerability in SAP CRM WebClient UI CA-WUI-UI-TAG | Medium | 4,3 |
2985905 | New | [CVE-2023-24524] Missing Authorization check in SAP S/4 HANA Map Treasury Correspondence Format Data CA-GTF-CSC-DME | Medium | 6,5 |
3275841 | New | [CVE-2023-23851] Unrestricted File Upload in SAP Business Planning and Consolidation EPM-BPC-NW-INF | Medium | 5,4 |
3293786 | New | [CVE-2023-23858] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-ABA-LA | Medium | 6,1 |
3281724 | New | [CVE-2023-0019] Missing Authorization check in SAP GRC (Process Control) GRC-SPC-AC | Medium | 6,5 |
3290901 | New | [CVE-2023-24528] Missing Authorization Check in SAP Fiori apps for Travel Management in SAP ERP (My Travel Requests) FI-TV-ODT-MTR | Medium | 6,5 |
3282663 | New | [CVE-2023-24529] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (Business Server Pages application) CA-GTF-PCF | Medium | 6,1 |
3274585 | New | [CVE-2023-25614] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP | Medium | 6,1 |
3269118 | New | [CVE-2023-24522] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP | Medium | 6,1 |
3269151 | New | [CVE-2023-24521] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP | Medium | 6,1 |
3271227 | New | [CVE-2023-23853] URL Redirection vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform BC-MID-ICF | Medium | 6,1 |
3268959 | New | [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform BC-MID-AC | Medium | 6,1 |
3266751 | New | [CVE-2023-23852] Cross-Site Scripting (XSS) vulnerability in SAP Solution Manager 7.2 SV-SMG-MON-SYS | Medium | 6,1 |
3265846 | New | [CVE-2023-0024] Cross Site Scripting in SAP Solution Manager (BSP Application) SV-SMG-SVD-SWB | Medium | 6,5 |
3267442 | New | [CVE-2023-0025] Cross Site Scripting in SAP Solution Manager (BSP Application) SV-SMG-SVD-SWB | Medium | 6,5 |
3270509 | New | [CVE-2023-23855] URL Redirection vulnerability in SAP Solution Manager SV-SMG-OP | Medium | 6,5 |
3263135 | New | [CVE-2023-0020] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence platform BI-BIP-INV | High | 8,5 |
3263863 | New | [CVE-2023-23856] Cross-Site Scripting (XSS) vulnerability in Web Intelligence Interface BI-RA-WBI-FE | Medium | 4,3 |
3262544 | Update | [CVE-2022-41262] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for Java (Http Provider Service) BC-JAS-WEB | Medium | 6,1 |
3268172 | Update | [CVE-2022-41264] Code Injection vulnerability in SAP BASIS BC-DB-HDB-POR | High | 8,8 |
3283283 | Update | [CVE-2023-0013] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-ABA-LA | Medium | 6,1 |