Bezpieczny Wtorek ze SNOK: Kluczowe Aktualizacje z Majowego SAP Patch Day

Bezpieczny Wtorek ze SNOK: Kluczowe Aktualizacje z Majowego SAP Patch Day 

Bezpieczny Wtorek ze SNOK: Kluczowe Aktualizacje z Majowego SAP Patch Day

W SNOK każdego miesiąca analizujemy najnowsze aktualizacje bezpieczeństwa SAP, aby pomóc naszym klientom w ochronie ich systemów przed najnowszymi zagrożeniami. W majowej edycji SAP Patch Day opublikowano 15 nowych notatek bezpieczeństwa, w tym 2 „HotNews” o najwyższym priorytecie.

Najważniejsze Aktualizacje

1. SAP CX Commerce – HotNews

  • SAP Note 3455438: Dotyczy dwóch krytycznych luk w bibliotekach Swagger UI i Apache Calcite Avatica. Zaleca się natychmiastową aktualizację komponentu HY_COM.

2. SAP Content Server – HotNews

  • SAP Note 3448171: Zawiera istotną poprawkę zapobiegającą możliwości przesłania złośliwego pliku. Użytkownicy muszą ręcznie zaimplementować te poprawki.

Podatności XSS (Cross-Site Scripting)

W majowych aktualizacjach znalazły się cztery nowe notatki dotyczące podatności XSS:

  • SAP Note 3431794: Dotyczy SAP BusinessObjects.
  • SAP Note 3448445: Wpływa na SAP NetWeaver.
  • SAP Note 3460772: Dotyczy SAP S/4HANA.
  • SAP Note 3450286: Również związana z SAP NetWeaver.

Podatności o średnim i niskim priorytecie

1. PDFViewer w SAPUI5

  • SAP Note 3446076: Luki mogą prowadzić do wykonania złośliwego skryptu. Wprowadzenie właściwości 'isTrustedSource’ może zmniejszyć ryzyko, ale może wpłynąć na doświadczenie użytkownika.

2. Inne podatności

  • SAP Note 3392049: Brak sprawdzenia uprawnień w SAP Bank Account Management.
  • SAP Note 2174651: Potencjalne ujawnienie informacji w SAP Process Integration.

Podsumowanie

Majowe aktualizacje bezpieczeństwa SAP obejmują szeroki zakres podatności, od krytycznych do mniej poważnych. W SNOK zalecamy naszym klientom regularne przeglądanie i natychmiastowe wdrażanie wszystkich aktualizacji bezpieczeństwa, aby zapewnić ciągłość ochrony systemów SAP.

Wnioski

Zarządzanie aktualizacjami to kluczowy element strategii cyberbezpieczeństwa. Regularne aktualizacje nie tylko chronią przed znanymi zagrożeniami, ale również wzmacniają całą infrastrukturę IT. Działając proaktywnie, możemy znacznie zmniejszyć ryzyko związane z cyberatakami. Skontaktuj się z zespołem SNOK, aby dowiedzieć się więcej o naszych usługach zarządzania aktualizacjami i kompleksowej ochronie systemów SAP.

Note# Title Severity CVSS
2622660 Update to Security Note released on April 2018 Patch Day:
Security updates for the browser control Google Chromium delivered with SAP Business Client
Product – SAP Business Client, Versions – 6.5, 7.0, 7.70
Hot News 10.0
3455438 [CVE-2019-17495] Multiple vulnerabilities in SAP CX Commerce Related CVE – CVE-2022-36364
Product- SAP Commerce, Version – HY_COM 2205
Hot News 9.8
3448171 [CVE-2024-33006] File upload vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform
Product- SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS  702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
Hot News 9.6
3431794 [CVE-2024-28165] Cross site scripting vulnerability in SAP BusinessObjects Business Intelligence Platform
Product- SAP BusinessObjects (Business Intelligence Platform), Versions – 430, 440
High 8.1
3441944 [CVE-2024-32730] Missing authorization check in SAP Enable Now Manager
Product- SAP Enable Now, Version – 1704
Medium 6.5
3448445 [CVE-2024-34687] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application server for ABAP and ABAP Platform
Product- SAP NetWeaver Application server for ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795, SAP_BASIS 796
Medium 6.5
3450286 [CVE-2024-32733] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform
Product- SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
Medium 6.1
3460772 [CVE-2024-33002] Cross-Site Scripting (XSS) Vulnerability in SAP S/4HANA (Document Service Handler for DPS)
Product - SAP S/4HANA (Document Service Handler for DPS), Versions – SAP_BASIS 740, SAP_BASIS 750
Medium 6.1
3447467 [CVE-2024-32731] Missing Authorization check in SAP My Travel Requests
Product- My Travel Requests, Version – 600
Medium 5.5
2745860 Update to Security Note released on May 2021 Patch Day: Information Disclosure in Enterprise Services Repository of SAP Process Integration
Product – SAP Process Integration, Versions – MESSAGING 7.31, MESSAGING 7.40, MESSAGING 7.50, NWCEIDE 7.31, SAP_XIESR 7.31, SAP_XIESR 7.40, SAP_XIESR 7.50, SAP_XITOOL 7.31, SAP_XITOOL 7.40, SAP_XITOOL 7.50, SAP_XIAF 7.31, SAP_XIAF 7.40, SAP_XIAF 7.50, SAP_XIGUILIB 7.31, SAP_XIGUILIB 7.40, SAP_XIGUILIB 7.50
Medium 5.3
3349468 [CVE-2024-33008] Memory Corruption vulnerability in SAP Replication Server
Product – SAP Replication Server, Versions – 16.0, 16.0.3, 16.0.4
Medium 4.9
3434666 [Multiple CVEs] Missing Authorization Checks in SAP S/4 HANA (Manage Bank Statement Reprocessing Rules) CVEs – CVE-2024-4139, CVE-2024-4138
Product – SAP S/4 HANA (Manage Bank Statement Reprocessing Rules), Versions – SAPSCORE 131, S4CORE 105, S4CORE 106, S4CORE107, S4CORE 108
Medium 4.3
3449093 [CVE-2024-33004] Insecure Storage vulnerability in SAP BusinessObjects Business Intelligence Platform (Webservices)
Product – SAP BusinessObjects Business Intelligence Platform (Webservices), Versions – 430, 440
Medium 4.3
2174651 Update to Security Note released on December 2017 Patch Day:
Potential information disclosure relating to PI Integration Directory
Product – SAP Process Integration, Versions – MESSAGING 7.10, MESSAGING 7.11, MESSAGING 7.30, MESSAGING 7.31, MESSAGING 7.40, MESSAGING 7.50, NWCEIDE 7.31, SAP_XITOOL 7.00, SAP_XITOOL 7.01, SAP_XITOOL 7.02, SAP_XITOOL 7.10, SAP_XITOOL 7.11, SAP_XITOOL 7.30, SAP_XITOOL 7.31, SAP_XITOOL 7.40, SAP_XITOOL 7.50, SAP_XIAF 7.31, SAP_XIAF 7.40, SAP_XIAF 7.50, SAP_XIPCK 7.00, SAP_XIPCK 7.01, SAP_XIPCK 7.02, SAP_XIPCK 7.10, SAP_XIPCK 7.11, SAP_XIPCK 7.30
Medium 4.3
1938764 [CVE-2024-33009] SQL injection vulnerability in SAP Global Label Management (GLM)
Product – SAP Global Label Management (GLM), Versions – 605, 606, 616, 617
Low 3.7
3392049 [CVE-2024-33000] Missing Authorization check in SAP Bank Account Management
Product – SAP Bank Account Management, Versions – 100, 101, 102, 103, 104, 105, 106, 107, 108
Low 3.5
3446076 [CVE-2024-33007] Client-side script execution vulnerability in SAP UI5(PDFViewer)
Product - SAPUI5, Versions – 754, 755, 756, 757, 758
Low 3.5