9 kwietnia odbył się kolejny SAP Security Patch Day, przynosząc na światło dzienne 10 nowych notatek bezpieczeństwa oraz 2 aktualizacje wcześniej wydanych notatek. W tym miesiącu skupiamy się na szczegółach tych aktualizacji, które mają kluczowe znaczenie dla ochrony systemów SAP w Twojej organizacji.
Kluczowe aktualizacje
Wysokie zagrożenie
-
[CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine (CVSS: 8.8) - dotyczy SAP NetWeaver AS Java User Management Engine w wersjach SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50. Ta luka może pozwolić na nieautoryzowany dostęp do wrażliwych danych.
-
[CVE-2024-25646] Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence (CVSS: 7.7) - wpływa na wersje 4.2 i 4.3. Umożliwia nieuprawnionym osobom dostęp do chronionych informacji.
-
[CVE-2024-27901] Directory Traversal vulnerability in SAP Asset Accounting (CVSS: 7.2) - dotyczy wielu wersji SAP_APPL oraz SAP_FIN. Atakujący mogą wykorzystać tę lukę, aby uzyskać dostęp do plików systemowych poza oczekiwanym katalogiem.
Średnie zagrożenie
-
Stack overflow vulnerability on the component images of SAP Integration Suite (EDGE INTEGRATION CELL) (CVSS: 6.8) - dotyczy wersji starszych niż 8.13.5. Może prowadzić do odmowy usługi (DoS) poprzez przeciążenie stosu.
-
[CVE-2024-30218] Denial of service (DOS) vulnerability in SAP NetWeaver AS ABAP and ABAP Platform (CVSS: 6.5) - wpływa na szeroki zakres wersji KERNEL. Umożliwia atakującym zakłócenie normalnego działania systemu.
Dlaczego to ważne?
Regularne aktualizacje bezpieczeństwa są niezbędne do ochrony przed potencjalnymi atakami i naruszeniami danych. Zrozumienie i szybka reakcja na nowe luki bezpieczeństwa są kluczowe dla utrzymania stabilności i bezpieczeństwa środowisk IT.
Jak SNOK może pomóc?
W SNOK oferujemy wsparcie w szybkim reagowaniu na nowe luki bezpieczeństwa, dzięki naszym usługom w zakresie SAP BASIS, analizy SAP oraz cyberbezpieczeństwa SAP. Nasza wiedza techniczna i doświadczenie pozwalają na zapewnienie kompleksowego wsparcia w łataniu luk bezpieczeństwa, zapewniając spokój ducha naszym klientom.
Podsumowanie
Kwietniowy SAP Security Patch Day przyniósł istotne aktualizacje, które wymagają natychmiastowej uwagi. Dzięki naszemu zaangażowaniu w zapewnienie najwyższego poziomu ochrony, pomagamy naszym klientom w utrzymaniu bezpiecznych i stabilnych systemów SAP. Cyberbezpieczeństwo to proces ciągły, wymagający regularnej aktualizacji i czujności.
Jeśli potrzebujesz wsparcia w związku z najnowszymi aktualizacjami bezpieczeństwa SAP, skontaktuj się z nami. Razem zapewnimy, że Twoje środowisko SAP pozostanie bezpieczne i niezawodne.
Note# Title Severity CVSS
3434839 [CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine Product - SAP NetWeaver AS Java User Management Engine, Versions - SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50 High 8.8
3421384 [CVE-2024-25646] Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence Product - SAP BusinessObjects Web Intelligence, Versions - 4.2, 4.3 High 7.7
3438234 [CVE-2024-27901] Directory Traversal vulnerability in SAP Asset Accounting Product- SAP Asset Accounting, Versions - SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618, SAP_FIN700 High 7.2
3442741 Stack overflow vulnerability on the component images of SAP Integration Suite (EDGE INTEGRATION CELL) Product - SAP Edge Integration Cell, Versions older than 8.13.5 Medium 6.8
3359778 [CVE-2024-30218] Denial of service (DOS) vulnerability in SAP NetWeaver AS ABAP and ABAP Platform Product - SAP NetWeaver AS ABAP and ABAP Platform, Versions - KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.93 Medium 6.5
3442378 [CVE-2024-28167] Missing Authorization check in SAP Group Reporting Data Collection (Enter Package Data) Product - SAP Group Reporting Data Collection (Enter Package Data), Versions - S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108, SAP_GRDC_CLOUD 1.0.0 Medium 6.5
3164677 Update to Security Note released on May 2022 Patch Day: [CVE-2022-29613] Information Disclosure vulnerability in SAP Employee Self Service(Fiori My Leave Request) Product - SAP Employee Self Service (Fiori My Leave Request), Version - 605 Medium 6.5
3156972 Update to Security Note released on August 2023 Patch Day: [CVE-2023-40306] URL Redirection vulnerability in SAP S/4HANA (Manage Catalog Items and Cross-Catalog search) Product - SAP S/4HANA (Manage Catalog Items and Cross-Catalog search), Versions - S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106 Medium 6.1
3425188
[CVE-2024-27898] Server-Side Request Forgery in SAP NetWeaver (tcesiespgrmgwshealthcheck~ear)
Product - SAP NetWeaver, Version - 7.50
Medium
5.3
3421453 [Multiple CVEs] Cross-Site Scripting (XSS) vulnerabilities in SAP Business Connector CVEs - CVE-2024-30214, CVE-2024-30215 Product - SAP Business Connector, Version - 4.8 Medium 4.8
3427178 [CVE-2024-30216] Missing Authorization check in SAP S/4 HANA (Cash Management) Product - SAP S/4 HANA (Cash Management), Versions - S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108 Medium 4.3
3430173 [CVE-2024-30217] Missing Authorization check in SAP S/4 HANA (Cash Management) Product - SAP S/4 HANA (Cash Management), Versions - S4CORE 106, S4CORE 107, S4CORE 108 Medium 4.3