SNOK, jako wiodąca firma konsultingowa SAP, informuje o najnowszych aktualizacjach bezpieczeństwa dla systemów SAP. Comiesięczny SAP Security Patch Day, który miał miejsce 10 września 2024 roku, przyniósł istotne zmiany, o których powinni wiedzieć wszyscy użytkownicy SAP.
SAP opublikował 16 nowych Not Bezpieczeństwa i zaktualizował 3 wcześniej wydane noty. Te poprawki dotyczą różnych luk w zabezpieczeniach w wielu produktach SAP i powinny być niezwłocznie zastosowane w celu utrzymania bezpieczeństwa środowiska SAP.
Kluczowe informacje
-
- Hot News: Najważniejsza aktualizacja tego miesiąca dotyczy SAP BusinessObjects Business Intelligence Platform (Nota #3479478). Z oceną CVSS 9.8, ta poprawka adresuje brak kontroli uwierzytelniania i jest klasyfikowana jako Hot News. Użytkownicy tej platformy powinni natychmiast zwrócić na nią uwagę.
-
- High: Luka związana z ujawnianiem informacji w SAP Commerce Cloud (Nota #3459935) otrzymała ocenę wysokiego priorytetu z wynikiem CVSS 7.4.
-
- Medium: Większość poprawek wydanych w tym miesiącu należy do kategorii średniego priorytetu, z ocenami CVSS od 4.3 do 6.5. Dotyczą one różnych problemów, w tym:
- Luk typu Cross-Site Scripting (XSS)
- Brakujących kontroli autoryzacji
- Luk związanych z ujawnianiem informacji
- Luki związanej z przejęciem biblioteki DLL
-
- Dotknięte Produkty: Produktów SAP, których dotyczą aktualizacje, to:
- SAP BusinessObjects Business Intelligence Platform
- SAP Commerce Cloud
- SAP S/4HANA
- SAP NetWeaver Application Server for ABAP and ABAP Platform
- SAP Business Warehouse (BW)
- SAP for Oil & Gas
- SAP Replication Server
- SAP Production and Revenue Accounting (Tobin interface)
- SAP NetWeaver Enterprise Portal
- SAP NetWeaver Application Server for Java
- SAP Student Life Cycle Management (SLcM)
- SAP NetWeaver AS Java (Logon Application)
Note# | Title | Priority | CVSS |
3479478 | Update to Security Note released on August 2024 Patch Day: [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform Product - SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 430, 440 |
Hot News | 9.8 |
3459935 | Update to Security Note released on August 2024 Patch Day: [CVE-2024-33003] Information Disclosure Vulnerability in SAP Commerce Cloud Product – SAP Commerce Cloud, Versions – HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211 | High | 7.4 |
3495876 | Update to Security Note released on August 2024 Patch Day: [Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS) CVEs – CVE-2023-0215, CVE-2022-0778 , CVE-2023-0286 Product – SAP Replication Server, Versions – 16.0.3, 16.0.4 | Medium | 6.5 |
3488341 | [CVE-2024-45286] Missing Authorization check in SAP Production and Revenue Accounting (Tobin interface) Product - SAP Production and Revenue Accounting (Tobin interface), Versions – S4CEXT 106, S4CEXT 107, S4CEXT 108, IS-PRA 605, IS-PRA 606, IS-PRA 616, IS-PRA 617, IS-PRA 618, IS-PRA 800, IS-PRA 801, IS-PRA 802, IS-PRA 803, IS-PRA 804, IS-PRA 805 |
Medium | 6.5 |
3497347 | [CVE-2024-42378] Cross-Site Scripting (XSS) in eProcurement on S/4HANA Product – SAP S/4HANA eProcurement, Versions – SAP_APPL 606, SAP_APPL 617, SAP_APPL 618, S4CORE 102, S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108 |
Medium | 6.1 |
3501359 | [CVE-2024-45279] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server for ABAP(CRM Blueprint Application Builder Panel) Product - SAP NetWeaver Application Server for ABAP (CRM Blueprint Application Builder Panel), Versions – 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H, 75I |
Medium | 6.1 |
3477359 | [CVE-2024-45283] Information disclosure vulnerability in SAP NetWeaver AS for Java (Destination Service) Product - SAP NetWeaver AS for Java (Destination Service), Versions – 7.50 |
Medium | 6.0 |
3430336 | [CVE-2013-3587] Information Disclosure vulnerability in SAP Commerce Cloud Product - SAP Commerce Cloud, Version – COM_CLOUD 2211 |
Medium | 5.9 |
3425287 | [CVE-2024-45281] DLL hijacking vulnerability in SAP BusinessObjects Business Intelligence Platform Product - SAP BusinessObjects Business Intelligence Platform, Version – 430 |
Medium | 5.8 |
3488039 | [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver Application Server for ABAP and ABAP Platform CVEs – CVE-2024-42371, CVE-2024-44117, CVE-2024-45285, CVE-2024-42380, CVE-2024-44115, CVE-2024-44116 Product – SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912 | Medium | 5.4 |
3505503 | [CVE-2024-45280] Cross-Site Scripting (XSS) Vulnerability in SAP NetWeaver AS Java (Logon Application) Product – SAP NetWeaver AS Java (Logon Application), Version – 7.50 |
Medium | 4.8 |
3498221 | [CVE-2024-44120] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal Product – SAP NetWeaver Enterprise Portal, Version – 7.50 | Medium | 4.7 |
3481992 | [CVE-2024-44113] Information Disclosure vulnerability in the SAP Business Warehouse (BEx Analyzer) Product – SAP Business Warehouse (BEx Analyzer), Versions – DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758 | Medium | 4.3 |
3481588 | [CVE-2024-41729] Information Disclosure vulnerability in the SAP NetWeaver BW (BEx Analyzer) Product – SAP NetWeaver BW (BEx Analyzer), Versions – DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758 | Medium | 4.3 |
3437585 | [CVE-2024-44121] Information Disclosure in SAP S/4 HANA (Statutory Reports) Product - SAP S/4 HANA, Version – 900 | Medium | 4.3 |
3505293 | [CVE-2024-44112] Missing Authorization check in SAP for Oil & Gas (Transportation and Distribution) Product – SAP for Oil & Gas, Versions – 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807, 807 |
Medium | 4.3 |
2256627 | [CVE-2024-45284] Missing authorization check in SAP Student Life Cycle Management (SLcM) Product – SAP Student Life Cycle Management (SLcM), Versions – 617, 618, 800, 802, 803, 804, 805, 806, 807, 808 |
Low | 2.7 |
3496410 | [CVE-2024-41728] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform Product - SAP NetWeaver Application Server for ABAP and ABAP Platform, Version – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912 |
Low | 2.7 |
3507252 | [CVE-2024-44114] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform Product - SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912 |
Low | 2.0 |
Zalecenia dla klientów SNOK
-
- Priorytetyzacja Aktualizacji: Skupcie się najpierw na zastosowaniu poprawek oznaczonych jako Hot News i High Priority, szczególnie jeśli korzystacie z SAP BusinessObjects BI Platform lub SAP Commerce Cloud.
-
- Przegląd Środowiska: Oceńcie, które z dotkniętych produktów i wersji są obecne w Waszym środowisku SAP, aby określić, które poprawki są dla Was istotne.
-
- Zaplanowanie Strategii Aktualizacji: Opracujcie systematyczne podejście do wdrożenia tych poprawek, biorąc pod uwagę potencjalne przestoje lub wpływ na system.
-
- Testowanie Przed Produkcją: Zawsze testujcie poprawki w środowisku nieprodukcyjnym przed zastosowaniem ich w systemach produkcyjnych.
-
- Bądźcie na Bieżąco: Regularnie sprawdzajcie Portal Wsparcia SAP, aby uzyskać najbardziej aktualne informacje o poprawkach bezpieczeństwa i najlepszych praktykach.
Jak SNOK może pomóc
Nasz zespół ekspertów ds. bezpieczeństwa SAP w SNOK jest gotowy, aby pomóc Wam:
- Przeanalizować wpływ tych poprawek bezpieczeństwa na Wasze konkretne środowisko SAP
- Opracować i wdrożyć strategię aktualizacji dostosowaną do potrzeb Waszej firmy
- Zapewnić ciągłe wsparcie, aby Wasze systemy SAP pozostały bezpieczne i aktualne
Nie pozwólcie, aby luki w zabezpieczeniach naraziły Wasz biznes na ryzyko. Skontaktujcie się z SNOK już dziś, aby upewnić się, że Wasze systemy SAP są chronione najnowszymi aktualizacjami bezpieczeństwa.
Bezpieczeństwo w świecie SAP to nie meta, którą osiągamy, lecz droga, którą nieustannie kroczymy. Każda aktualizacja, każde zabezpieczenie to kolejny krok na tej ścieżce. SNOK jest gotowy, by być Waszym przewodnikiem – oferując nie tylko wiedzę, ale i doświadczenie w nawigowaniu przez meandry bezpieczeństwa SAP. Razem możemy wyprzedzać zagrożenia, zamiast na nie reagować. Zróbmy ten krok ku bezpieczniejszemu środowisku SAP już dziś.