Bezpieczny wtorek ze SNOK: SAP Security Patch Day – Listopad 2024 

Bezpieczny wtorek ze SNOK: SAP Security Patch Day – Listopad 2024 

Bezpieczny wtorek ze SNOK: SAP Security Patch Day – Listopad 2024 

Kolejny drugi wtorek miesiąca, czyli czas na łatki bezpieczeństwa od SAP. Tym razem, 12 listopada 2024, producent opublikował osiem nowych not bezpieczeństwa i zaktualizował dwie wcześniejsze. Jest to standardowa praktyka SAP, który dba o zabezpieczenie swoich rozwiązań i regularnie dostarcza aktualizacje chroniące systemy klientów przed zagrożeniami.

Kluczowe informacje:

    Nowe noty bezpieczeństwa:

        1. Nota #3520281: Luka typu Cross-Site Scripting (XSS) w SAP Web Dispatcher (wersje WEBDISP 7.77, 7.89, 7.93 oraz KERNEL 7.77, 7.89, 7.93, 9.12, 9.13). Priorytet: wysoki, CVSS: 8.8.
          1. Nota #3335394: Brak kontroli autoryzacji w SAP NetWeaver AS Java (System Landscape Directory) (wersja LM-SLD 7.5). Priorytet: średni, CVSS: 6.5.
            1. Nota #3509619: Lokalna eskalacja uprawnień w SAP Host Agent (wersja SAPHOSTAGENT 7.22). Priorytet: średni, CVSS: 6.3.
              1. Nota #3393899: Ujawnienie informacji w SAP NetWeaver Application Server Java (Logon Application) (wersja SERVERCORE 7.5). Priorytet: średni, CVSS: 5.3.
                1. Nota #3504390: Błąd typu NULL Pointer Dereference w SAP NetWeaver Application Server for ABAP and ABAP Platform (różne wersje KERNEL i KRNL64). Priorytet: średni, CVSS: 5.3.
                  1. Nota #3522953: Ujawnienie informacji w SAP NetWeaver Java (Software Update Manager) (wersja SUM 1.1). Priorytet: średni, CVSS: 4.7.
                    1. Nota #3508947: Ujawnienie informacji w SAP NetWeaver Application Server for ABAP and ABAP Platform (różne wersje KERNEL i KRNL64). Priorytet: średni, CVSS: 4.3.
                      1. Nota #3498470: Brak kontroli autoryzacji w SAP Cash Management (Cash Operations) (wersje S4CORE 103-108). Priorytet: niski, CVSS: 3.5.

                      Zaktualizowane noty bezpieczeństwa:

                          1. Nota #3483344: Brak kontroli autoryzacji w SAP PDCE (wersje S4CORE 102-108). Priorytet: wysoki, CVSS: 7.7.
                            1. Nota #3392049: Brak kontroli autoryzacji w SAP Bank Account Management (wersje 100-108). Priorytet: niski, CVSS: 3.5.

                          Jak SNOK może pomóc?

                          SNOK, jako partner SAP i Microsoft oraz ekspert w obszarze SAP Cybersecurity, wspiera swoich klientów w zabezpieczaniu środowisk na najwyższym poziomie. Nasz zespół specjalistów oferuje kompleksowe usługi, w tym audyty bezpieczeństwa, wdrażanie poprawek, monitorowanie zagrożeń oraz szkolenia dla zespołów IT. Dzięki współpracy z takimi partnerami jak SecurityBridge, dostarczamy innowacyjne rozwiązania, które pozwalają na wykrywanie i zapobieganie zagrożeniom w czasie rzeczywistym. Jeśli potrzebujesz wsparcia w ocenie lub implementacji listopadowych poprawek bezpieczeństwa SAP, skontaktuj się z nami – zapewnimy, że Twoje systemy pozostaną bezpieczne i odporne na zagrożenia.

                          Podsumowanie:

                          Listopadowy SAP Security Patch Day przyniósł istotne aktualizacje, które mają na celu wzmocnienie bezpieczeństwa systemów SAP. Zachęcamy wszystkich klientów do regularnego monitorowania i wdrażania najnowszych poprawek bezpieczeństwa, aby zapewnić ciągłość i bezpieczeństwo operacji biznesowych.

                          Note# Title Priority CVSS 
                          3520281 [CVE-2024-47590] Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher Product- SAP Web Dispatcher, Versions – WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12, 9.13 High 8.8
                          3483344 Update to Security Note released on July 2024 Patch Day: [CVE-2024-39592] Missing Authorization check in SAP PDCE Product – SAP PDCE, Version – S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108 High 7.7
                          3335394 [CVE-2024-42372] Missing Authorization check in SAP NetWeaver AS Java (System Landscape Directory) Product- SAP NetWeaver AS Java (System Landscape Directory), Versions – LM-SLD 7.5 Medium 6.5
                          3509619 [CVE-2024-47595] Local Privilege Escalation in SAP Host Agent
                          Product – SAP Host Agent, Version – SAPHOSTAGENT 7.22
                          Medium 6.3
                          3393899 [CVE-2024-47592] Information Disclosure Vulnerability in SAP NetWeaver Application Server Java (Logon Application) Product- SAP NetWeaver Application Server Java (Logon Application), Versions – SERVERCORE 7.5 Medium 5.3
                          3504390 [CVE-2024-47586] NULL Pointer Dereference vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Product- SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12, 9.13 Medium 5.3
                          3522953 [CVE-2024-47588] Information Disclosure vulnerability in SAP NetWeaver Java (Software Update Manager)
                          Product – SAP NetWeaver Java (Software Update Manager),
                          Versions – SUM 1.1
                          Medium 4.7
                          3508947 [CVE-2024-47593] Information Disclosure Vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform
                          Product – SAP NetWeaver Application Server ABAP, Versions – KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12
                          Medium 4.3
                          3498470 [CVE-2024-47587] Missing authorization check in SAP Cash Management (Cash Operations)
                          Product – SAP Cash Management (Cash Operations), Version – S4CORE 103, 104, 105, 106, 107, 108
                          Low 3.5
                          3392049 Update to Security Note released on May 2024 Patch Day: [CVE-2024-33000] Missing Authorization check in SAP Bank Account Management
                          Product – SAP Bank Account Management, Version – 100, 101, 102, 103, 104, 105, 106, 107, 108
                          Low 3.5