Bezpieczny wtorek ze SNOK: SAP Security Patch Day - Wrzesień 2024

Bezpieczny wtorek ze SNOK: SAP Security Patch Day – Wrzesień 2024 

Bezpieczny wtorek ze SNOK: SAP Security Patch Day - Wrzesień 2024

SNOK, jako wiodąca firma konsultingowa SAP, informuje o najnowszych aktualizacjach bezpieczeństwa dla systemów SAP. Comiesięczny SAP Security Patch Day, który miał miejsce 10 września 2024 roku, przyniósł istotne zmiany, o których powinni wiedzieć wszyscy użytkownicy SAP.

SAP opublikował 16 nowych Not Bezpieczeństwa i zaktualizował 3 wcześniej wydane noty. Te poprawki dotyczą różnych luk w zabezpieczeniach w wielu produktach SAP i powinny być niezwłocznie zastosowane w celu utrzymania bezpieczeństwa środowiska SAP.

Kluczowe informacje

      1. Hot News: Najważniejsza aktualizacja tego miesiąca dotyczy SAP BusinessObjects Business Intelligence Platform (Nota #3479478). Z oceną CVSS 9.8, ta poprawka adresuje brak kontroli uwierzytelniania i jest klasyfikowana jako Hot News. Użytkownicy tej platformy powinni natychmiast zwrócić na nią uwagę.
        1. High: Luka związana z ujawnianiem informacji w SAP Commerce Cloud (Nota #3459935) otrzymała ocenę wysokiego priorytetu z wynikiem CVSS 7.4.
          1. Medium: Większość poprawek wydanych w tym miesiącu należy do kategorii średniego priorytetu, z ocenami CVSS od 4.3 do 6.5. Dotyczą one różnych problemów, w tym:
        • Luk typu Cross-Site Scripting (XSS)
        • Brakujących kontroli autoryzacji
        • Luk związanych z ujawnianiem informacji
        • Luki związanej z przejęciem biblioteki DLL

         

            1. Dotknięte Produkty: Produktów SAP, których dotyczą aktualizacje, to:
          • SAP BusinessObjects Business Intelligence Platform
          • SAP Commerce Cloud
          • SAP S/4HANA
          • SAP NetWeaver Application Server for ABAP and ABAP Platform
          • SAP Business Warehouse (BW)
          • SAP for Oil & Gas
          • SAP Replication Server
          • SAP Production and Revenue Accounting (Tobin interface)
          • SAP NetWeaver Enterprise Portal
          • SAP NetWeaver Application Server for Java
          • SAP Student Life Cycle Management (SLcM)
          • SAP NetWeaver AS Java (Logon Application)

           

          Note# Title Priority CVSS
          3479478 Update to Security Note released on August 2024 Patch Day:   [CVE-2024-41730Missing Authentication check in SAP BusinessObjects Business Intelligence Platform
          Product - SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 430, 440
          Hot News 9.8
          3459935 Update to Security Note released on August 2024 Patch Day: [CVE-2024-33003Information Disclosure Vulnerability in SAP Commerce Cloud   Product – SAP Commerce Cloud, Versions – HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211 High 7.4
          3495876 Update to Security Note released on August 2024 Patch Day: [Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS)   CVEs – CVE-2023-0215, CVE-2022-0778 , CVE-2023-0286 Product – SAP Replication Server, Versions – 16.0.3, 16.0.4 Medium 6.5
          3488341 [CVE-2024-45286Missing Authorization check in SAP Production and Revenue Accounting (Tobin interface)
          Product - SAP Production and Revenue Accounting (Tobin interface), Versions – S4CEXT 106, S4CEXT 107, S4CEXT 108, IS-PRA 605, IS-PRA 606, IS-PRA 616, IS-PRA 617, IS-PRA 618, IS-PRA 800, IS-PRA 801, IS-PRA 802, IS-PRA 803, IS-PRA 804, IS-PRA 805
          Medium 6.5
          3497347 [CVE-2024-42378Cross-Site Scripting (XSS) in eProcurement on S/4HANA 
          Product  – SAP S/4HANA eProcurement, Versions – SAP_APPL 606, SAP_APPL 617, SAP_APPL 618, S4CORE 102, S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108
          Medium 6.1
          3501359 [CVE-2024-45279Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server for ABAP(CRM Blueprint Application Builder Panel) 
          Product - SAP NetWeaver Application Server for ABAP (CRM Blueprint Application Builder Panel), Versions – 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H, 75I
          Medium 6.1
          3477359 [CVE-2024-45283Information disclosure vulnerability in SAP NetWeaver AS for Java (Destination Service) 
          Product - SAP NetWeaver AS for Java (Destination Service), Versions – 7.50
          Medium 6.0
          3430336 [CVE-2013-3587Information Disclosure vulnerability in SAP Commerce Cloud 
          Product - SAP Commerce Cloud, Version – COM_CLOUD 2211
          Medium 5.9
          3425287 [CVE-2024-45281DLL hijacking vulnerability in SAP BusinessObjects Business Intelligence Platform 
          Product - SAP BusinessObjects Business Intelligence Platform, Version – 430
          Medium 5.8
          3488039 [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver Application Server for ABAP and ABAP Platform CVEs – CVE-2024-42371CVE-2024-44117CVE-2024-45285CVE-2024-42380CVE-2024-44115CVE-2024-44116 Product – SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912 Medium 5.4
          3505503 [CVE-2024-45280Cross-Site Scripting (XSS) Vulnerability in SAP NetWeaver AS Java (Logon Application)
          Product – SAP NetWeaver AS Java (Logon Application), Version – 7.50
          Medium 4.8
          3498221 [CVE-2024-44120Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal Product – SAP NetWeaver Enterprise Portal, Version – 7.50 Medium 4.7
          3481992 [CVE-2024-44113Information Disclosure vulnerability in the SAP Business Warehouse (BEx Analyzer)   Product – SAP Business Warehouse (BEx Analyzer), Versions – DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758 Medium 4.3
          3481588 [CVE-2024-41729Information Disclosure vulnerability in the SAP NetWeaver BW (BEx Analyzer) Product – SAP NetWeaver BW (BEx Analyzer), Versions – DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758 Medium 4.3
          3437585 [CVE-2024-44121Information Disclosure in SAP S/4 HANA (Statutory Reports) Product - SAP S/4 HANA, Version – 900 Medium 4.3
          3505293 [CVE-2024-44112Missing Authorization check in SAP for Oil & Gas (Transportation and Distribution) 
          Product – SAP for Oil & Gas, Versions – 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807, 807
          Medium 4.3
          2256627 [CVE-2024-45284Missing authorization check in SAP Student Life Cycle Management (SLcM) 
          Product – SAP Student Life Cycle Management (SLcM), Versions – 617, 618, 800, 802, 803, 804, 805, 806, 807, 808
          Low 2.7
          3496410 [CVE-2024-41728Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform 
          Product - SAP NetWeaver Application Server for ABAP and ABAP Platform, Version – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912
          Low 2.7
          3507252 [CVE-2024-44114Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform 
          Product - SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912
          Low 2.0

          Zalecenia dla klientów SNOK

              1. Priorytetyzacja Aktualizacji: Skupcie się najpierw na zastosowaniu poprawek oznaczonych jako Hot News i High Priority, szczególnie jeśli korzystacie z SAP BusinessObjects BI Platform lub SAP Commerce Cloud.
                1. Przegląd Środowiska: Oceńcie, które z dotkniętych produktów i wersji są obecne w Waszym środowisku SAP, aby określić, które poprawki są dla Was istotne.
                  1. Zaplanowanie Strategii Aktualizacji: Opracujcie systematyczne podejście do wdrożenia tych poprawek, biorąc pod uwagę potencjalne przestoje lub wpływ na system.
                    1. Testowanie Przed Produkcją: Zawsze testujcie poprawki w środowisku nieprodukcyjnym przed zastosowaniem ich w systemach produkcyjnych.
                      1. Bądźcie na Bieżąco: Regularnie sprawdzajcie Portal Wsparcia SAP, aby uzyskać najbardziej aktualne informacje o poprawkach bezpieczeństwa i najlepszych praktykach.

                    Jak SNOK może pomóc

                    Nasz zespół ekspertów ds. bezpieczeństwa SAP w SNOK jest gotowy, aby pomóc Wam:

                    • Przeanalizować wpływ tych poprawek bezpieczeństwa na Wasze konkretne środowisko SAP
                    • Opracować i wdrożyć strategię aktualizacji dostosowaną do potrzeb Waszej firmy
                    • Zapewnić ciągłe wsparcie, aby Wasze systemy SAP pozostały bezpieczne i aktualne

                    Nie pozwólcie, aby luki w zabezpieczeniach naraziły Wasz biznes na ryzyko. Skontaktujcie się z SNOK już dziś, aby upewnić się, że Wasze systemy SAP są chronione najnowszymi aktualizacjami bezpieczeństwa.

                    Bezpieczeństwo w świecie SAP to nie meta, którą osiągamy, lecz droga, którą nieustannie kroczymy. Każda aktualizacja, każde zabezpieczenie to kolejny krok na tej ścieżce. SNOK jest gotowy, by być Waszym przewodnikiem – oferując nie tylko wiedzę, ale i doświadczenie w nawigowaniu przez meandry bezpieczeństwa SAP. Razem możemy wyprzedzać zagrożenia, zamiast na nie reagować. Zróbmy ten krok ku bezpieczniejszemu środowisku SAP już dziś.