Przejdź do treści

Bezpieczny wtorek ze SNOK: Kluczowe aktualizacje z lipcowego SAP Security Patch Day

Lipcowy SAP Security Patch Day przyniósł kolejne istotne aktualizacje zabezpieczeń, które mają na celu ochronę systemów SAP przed nowymi zagrożeniami i…

Lipcowy SAP Security Patch Day przyniósł kolejne istotne aktualizacje zabezpieczeń, które mają na celu ochronę systemów SAP przed nowymi zagrożeniami i podatnościami. W tym miesiącu SAP opublikował szereg not zabezpieczeń obejmujących różne produkty i moduły. Poniżej przedstawiamy najważniejsze z nich.

Najważniejsze noty zabezpieczeń

  • CVE-2024-39592: Brak kontroli autoryzacji w SAP PDCE. Ocena CVSS wynosi 7.7, a problem dotyczy modułu FIN-BA. Aktualizacja ta jest kluczowa, aby zapobiec nieautoryzowanemu dostępowi do danych.

  • CVE-2024-39597: Niewłaściwe kontrole autoryzacji na wczesnym logowaniu do SAP Commerce. Ocena CVSS wynosi 7.2. Dotyczy SAP Commerce w wersji publicznej i on-premise. Ważne jest zastosowanie odpowiednich kroków naprawczych w zależności od wersji.

  • CVE-2024-34683: Nieograniczone przesyłanie plików w SAP Document Builder. Ta podatność, oceniona na 6.5, jest kluczowa dla ochrony przed potencjalnym wstrzykiwaniem złośliwego kodu przez użytkowników.

  • CVE-2024-34685: Podatność na cross-site scripting (XSS) w SAP NetWeaver Knowledge Management XMLEditor. Ocena CVSS wynosi 6.1. Aktualizacja jest konieczna, aby zapobiec atakom XSS.

  • CVE-2024-37180: Ujawnienie informacji w SAP NetWeaver Application Server dla ABAP i ABAP Platform. Ocena CVSS wynosi 4.1. Aktualizacja ta pomaga chronić poufne informacje przed nieautoryzowanym dostępem.

Rekomendacje SNOK

Zgodnie z naszymi najlepszymi praktykami, rekomendujemy następujące działania, aby zabezpieczyć Państwa systemy SAP:

  • Regularne Audyty Zabezpieczeń: Zalecamy regularne przeprowadzanie audytów zabezpieczeń systemów SAP, aby wcześnie wykrywać i eliminować potencjalne słabości.

  • Szybka Implementacja Aktualizacji: Pilne wdrożenie wszystkich wymienionych aktualizacji zabezpieczeń jest kluczowe dla ochrony przed zagrożeniami. Upewnij się, że Twój zespół IT jest na bieżąco z najnowszymi notami zabezpieczeń i szybko je implementuje.

  • Szkolenia dla Zespołów IT: Regularne szkolenia i webinary dla zespołów IT pomogą im lepiej zrozumieć nowe zagrożenia oraz skutecznie je neutralizować. SNOK oferuje specjalistyczne szkolenia dostosowane do indywidualnych potrzeb Twojej organizacji.

  • Wdrożenie Narzędzi Monitorujących: Użycie zaawansowanych narzędzi do monitorowania i zarządzania bezpieczeństwem, takich jak SAP Solution Manager, może znacząco poprawić bezpieczeństwo Twojej infrastruktury SAP.

  • Stała Współpraca z Ekspertami: Współpraca z doświadczonymi konsultantami ds. bezpieczeństwa, takimi jak eksperci SNOK, zapewnia dostęp do najnowszych rozwiązań i najlepszych praktyk w zakresie zabezpieczeń SAP.

Podsumowanie

Lipcowy SAP Security Patch Day przynosi kluczowe aktualizacje, które są niezbędne do ochrony systemów SAP przed nowymi podatnościami. Regularne stosowanie tych aktualizacji oraz ścisła współpraca z zespołem IT mogą znacząco zwiększyć bezpieczeństwo i stabilność systemów SAP w Twojej organizacji. Zachęcamy do kontaktu z naszym zespołem SNOK, aby uzyskać pomoc w implementacji tych aktualizacji oraz dalszych krokach w zakresie zabezpieczeń SAP.

Note Description Severity CVSS

3483344 [CVE-2024-39592] Missing Authorization check in SAP PDCE Priority: Correction with high priority Released on: 09.07.2024 Components: FIN-BA Category: Program error High 7.7

3490515 [CVE-2024-39597] Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce Priority: Correction with high priority Released on: 09.07.2024 Components: CEC-SCC-COM-BC-CS Category: Program error High 7.2

3466801 [CVE-2024-39593] Information Disclosure vulnerability in SAP Landscape Management Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-VCM-LVM Category: Program error Medium 6.9

3459379 [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service) Priority: Correction with medium priority Released on: 11.06.2024 Components: CA-GTF-DOB Category: Program error Medium 6.5

3468681 [CVE-2024-34685] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Knowledge Management XMLEditor Priority: Correction with medium priority Released on: 09.07.2024 Components: EP-PIN-WPC-WCM Category: Program error Medium 6.1

3482217 [CVE-2024-39594] Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP Business Warehouse - Business Planning and Simulation Priority: Correction with medium priority Released on: 09.07.2024 Components: BW-PLA-BPS Category: Program error Medium 6.1

3467377 [Multiple CVEs] Multiple vulnerabilities in SAP CRM (WebClient UI) Priority: Correction with medium priority Released on: 09.07.2024 Components: CA-WUI-UI Category: Program error Medium 6.1

3457354 [CVE-2024-37172] Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management) Priority: Correction with medium priority Released on: 09.07.2024 Components: FIN-FSCM-PF-IHB Category: Program error Medium 5.4

3483993 [CVE-2024-34689] Prerequisite for Security Note 3458789 Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Program error Medium 5.0

3485805 [CVE-2024-34689] Allowlisting of callback-URLs in SAP Business Workflow (WebFlow Services) Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Upgrade information Medium 5.0

3469958 [CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal) Priority: Correction with medium priority Released on: 09.07.2024 Components: TM-CP Category: Program error Medium 5.0

3461110 [CVE-2024-39600] Information Disclosure vulnerability in SAP GUI for Windows Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-FES-GUI Category: Program error Medium 5.0

3458789 [CVE-2024-34689] Server-Side Request Forgery in SAP Business Workflow (WebFlow Services) Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Program error Medium 5.0

3456952 [CVE-2024-39599] Protection Mechanism Failure in SAP NetWeaver Application Server for ABAP and ABAP Platform Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-MID-ICF Category: Program error Medium 4.7

3476348 [CVE-2024-39596] Missing Authorization check vulnerability in SAP Enable Now Priority: Correction with medium priority Released on: 09.07.2024 Components: KM-SEN-MGR Category: Upgrade information Medium 4.3

3101986 Prepare CSP support for On-Premise down port for code dependency in SAP CRM WebClient UI Priority: Correction with medium priority Released on: 12.04.2022 Components: CA-WUI-UI Category: Program error Medium 4.1

3454858 [CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-SRV-DX-DXW Category: Program error Medium 4.1

3476340 [CVE-2024-34692] Unrestricted File upload vulnerability in SAP Enable Now Priority: Correction with low priority Released on: 09.07.2024 Components: KM-SEN-MGR Category: Upgrade information Low 3.3

Tematy: Bezpieczny Wtorek bezpieczenstwo-sap SAP S/4HANA

Skontaktuj się z nami