Kolejny drugi wtorek miesiąca, czyli czas na łatki bezpieczeństwa od SAP. Tym razem, 12 listopada 2024, producent opublikował osiem nowych not bezpieczeństwa i zaktualizował dwie wcześniejsze. Jest to standardowa praktyka SAP, który dba o zabezpieczenie swoich rozwiązań i regularnie dostarcza aktualizacje chroniące systemy klientów przed zagrożeniami.
Kluczowe informacje:
Nowe noty bezpieczeństwa:
-
- Nota #3520281: Luka typu Cross-Site Scripting (XSS) w SAP Web Dispatcher (wersje WEBDISP 7.77, 7.89, 7.93 oraz KERNEL 7.77, 7.89, 7.93, 9.12, 9.13). Priorytet: wysoki, CVSS: 8.8.
-
- Nota #3335394: Brak kontroli autoryzacji w SAP NetWeaver AS Java (System Landscape Directory) (wersja LM-SLD 7.5). Priorytet: średni, CVSS: 6.5.
-
- Nota #3509619: Lokalna eskalacja uprawnień w SAP Host Agent (wersja SAPHOSTAGENT 7.22). Priorytet: średni, CVSS: 6.3.
-
- Nota #3393899: Ujawnienie informacji w SAP NetWeaver Application Server Java (Logon Application) (wersja SERVERCORE 7.5). Priorytet: średni, CVSS: 5.3.
-
- Nota #3504390: Błąd typu NULL Pointer Dereference w SAP NetWeaver Application Server for ABAP and ABAP Platform (różne wersje KERNEL i KRNL64). Priorytet: średni, CVSS: 5.3.
-
- Nota #3522953: Ujawnienie informacji w SAP NetWeaver Java (Software Update Manager) (wersja SUM 1.1). Priorytet: średni, CVSS: 4.7.
-
- Nota #3508947: Ujawnienie informacji w SAP NetWeaver Application Server for ABAP and ABAP Platform (różne wersje KERNEL i KRNL64). Priorytet: średni, CVSS: 4.3.
-
- Nota #3498470: Brak kontroli autoryzacji w SAP Cash Management (Cash Operations) (wersje S4CORE 103-108). Priorytet: niski, CVSS: 3.5.
Zaktualizowane noty bezpieczeństwa:
-
- Nota #3483344: Brak kontroli autoryzacji w SAP PDCE (wersje S4CORE 102-108). Priorytet: wysoki, CVSS: 7.7.
-
- Nota #3392049: Brak kontroli autoryzacji w SAP Bank Account Management (wersje 100-108). Priorytet: niski, CVSS: 3.5.
Jak SNOK może pomóc?
SNOK, jako partner SAP i Microsoft oraz ekspert w obszarze SAP Cybersecurity, wspiera swoich klientów w zabezpieczaniu środowisk na najwyższym poziomie. Nasz zespół specjalistów oferuje kompleksowe usługi, w tym audyty bezpieczeństwa, wdrażanie poprawek, monitorowanie zagrożeń oraz szkolenia dla zespołów IT. Dzięki współpracy z takimi partnerami jak SecurityBridge, dostarczamy innowacyjne rozwiązania, które pozwalają na wykrywanie i zapobieganie zagrożeniom w czasie rzeczywistym. Jeśli potrzebujesz wsparcia w ocenie lub implementacji listopadowych poprawek bezpieczeństwa SAP, skontaktuj się z nami – zapewnimy, że Twoje systemy pozostaną bezpieczne i odporne na zagrożenia.
Podsumowanie:
Listopadowy SAP Security Patch Day przyniósł istotne aktualizacje, które mają na celu wzmocnienie bezpieczeństwa systemów SAP. Zachęcamy wszystkich klientów do regularnego monitorowania i wdrażania najnowszych poprawek bezpieczeństwa, aby zapewnić ciągłość i bezpieczeństwo operacji biznesowych.
Note# | Title | Priority | CVSS |
3520281 | [CVE-2024-47590] Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher Product- SAP Web Dispatcher, Versions – WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12, 9.13 | High | 8.8 |
3483344 | Update to Security Note released on July 2024 Patch Day: [CVE-2024-39592] Missing Authorization check in SAP PDCE Product – SAP PDCE, Version – S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108 | High | 7.7 |
3335394 | [CVE-2024-42372] Missing Authorization check in SAP NetWeaver AS Java (System Landscape Directory) Product- SAP NetWeaver AS Java (System Landscape Directory), Versions – LM-SLD 7.5 | Medium | 6.5 |
3509619 | [CVE-2024-47595] Local Privilege Escalation in SAP Host Agent Product – SAP Host Agent, Version – SAPHOSTAGENT 7.22 |
Medium | 6.3 |
3393899 | [CVE-2024-47592] Information Disclosure Vulnerability in SAP NetWeaver Application Server Java (Logon Application) Product- SAP NetWeaver Application Server Java (Logon Application), Versions – SERVERCORE 7.5 | Medium | 5.3 |
3504390 | [CVE-2024-47586] NULL Pointer Dereference vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Product- SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12, 9.13 | Medium | 5.3 |
3522953 | [CVE-2024-47588] Information Disclosure vulnerability in SAP NetWeaver Java (Software Update Manager) Product – SAP NetWeaver Java (Software Update Manager), Versions – SUM 1.1 |
Medium | 4.7 |
3508947 | [CVE-2024-47593] Information Disclosure Vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Product – SAP NetWeaver Application Server ABAP, Versions – KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12 |
Medium | 4.3 |
3498470 | [CVE-2024-47587] Missing authorization check in SAP Cash Management (Cash Operations) Product – SAP Cash Management (Cash Operations), Version – S4CORE 103, 104, 105, 106, 107, 108 |
Low | 3.5 |
3392049 | Update to Security Note released on May 2024 Patch Day: [CVE-2024-33000] Missing Authorization check in SAP Bank Account Management Product – SAP Bank Account Management, Version – 100, 101, 102, 103, 104, 105, 106, 107, 108 |
Low | 3.5 |