Lutowy SAP Patch Day to moment, w którym branża IT z wypiekami na twarzach śledzi najnowsze aktualizacje bezpieczeństwa od SAP. W tym roku nie było inaczej, a luty przyniósł nam aż dwadzieścia sześć nowych i zaktualizowanych notatek bezpieczeństwa, w tym jedną notatkę HotNews i pięć notatek o wysokim priorytecie. Dla specjalistów od SAP, takich jak my w SNOK, jest to kluczowy moment, aby zapewnić, że systemy naszych klientów są zabezpieczone przed najnowszymi zagrożeniami.
Co nowego w lutym?
Wśród wydań znalazła się notatka HotNews dotycząca SAP Business Client, która załatała pięćdziesiąt cztery luki w Chromium, w tym dwadzieścia dwa patche o wysokim priorytecie. Najwyższy wynik CVSS spośród wszystkich załatanych luk to 8.8, co pokazuje, jak poważne mogą być te zagrożenia.
Jednak to nie wszystko. Dwie z pięciu notatek o wysokim priorytecie to zaktualizowane wersje wcześniej wydanych notatek, które po raz pierwszy pojawiły się w grudniu. Dotyczą one m.in. SAP Host Agent i SAP Business Planning and Consolidation, gdzie najpoważniejsza luka umożliwiała wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami administratora.
Szczegóły nowych notatek o wysokim priorytecie
Wśród nowych notatek o wysokim priorytecie znalazła się jedna, która dotyczyła SAP Host Agent. Luka ta pozwalała nieautoryzowanemu użytkownikowi z lokalnym dostępem do portu serwera przypisanego do usługi SAP Host Agent na wysłanie specjalnie spreparowanego żądania usługi sieciowej z dowolnym poleceniem systemu operacyjnego, które było wykonywane z uprawnieniami administratora. To poważne zagrożenie dla poufności, integralności i dostępności systemu.
Dlaczego to ważne dla SNOK i naszych klientów?
Jako złoty partner SAP w SNOK doskonale rozumiemy znaczenie utrzymania najwyższego poziomu bezpieczeństwa systemów naszych klientów. Lutowy SAP Patch Day to przypomnienie o ciągłej potrzebie monitorowania i aktualizacji systemów w celu ochrony przed nowymi i ewoluującymi zagrożeniami.
Jak SNOK pomaga klientom w zarządzaniu patchami?
W SNOK oferujemy kompleksowe usługi w zakresie SAP BASIS, analiz SAP, cyberbezpieczeństwa i pentestów SAP oraz zaufanego doradztwa w tych dziedzinach. Nasze doświadczenie i partnerstwa pozwalają nam nie tylko śledzić najnowsze aktualizacje bezpieczeństwa od SAP, ale także efektywnie zarządzać i implementować te aktualizacje w systemach naszych klientów.
Podsumowanie
Lutowy SAP Patch Day przyniósł szereg ważnych aktualizacji, które mają na celu ochronę systemów SAP przed najnowszymi zagrożeniami. W SNOK dbamy o to, żeby nasze usługi i rozwiązania były zawsze na bieżąco z najlepszymi praktykami bezpieczeństwa, aby nasi klienci mogli skupić się na swojej działalności, wiedząc, że ich systemy są bezpieczne.
W dzisiejszych czasach, kiedy cyberzagrożenia ewoluują z dnia na dzień, nie można lekceważyć znaczenia regularnych aktualizacji bezpieczeństwa.
Zachęcamy wszystkich administratorów SAP do regularnego monitorowania wydań SAP Patch Day i wdrażania zalecanych aktualizacji. Pamiętajcie, że bezpieczeństwo systemów to proces, a nie jednorazowe działanie. W SNOK jesteśmy tutaj, aby wspierać Was w tym procesie, oferując naszą wiedzę, doświadczenie i dedykowane usługi.
Dodatek - szczegółowe noty z lutowego SAP Patch Day
SAP Note Type Description Priority CVSS
2622660 Update Security updates for the browser control Google Chromium delivered with SAP Business Client BC-FES-BUS-DSKK HotNews 10,0
3271091 Update [CVE-2022-41268] Privilege escalation vulnerability in SAP Business Planning and Consolidation EPM-BPC-NW High 8,5
3256787 New [CVE-2023-24530] Unrestricted Upload of File in SAP BusinessObjects Business Intelligence Platform (CMC) BI-BIP-CMC High 8,4
3287291 New [CVE-2023-23854] Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform BC-DWB-TOO-ABA Low 3,8
3285757 New [CVE-2023-24523] Privilege Escalation vulnerability in SAP Host Agent (Start Service) BC-CCM-HAG High 8,8
2788178 New [CVE-2023-24525] Cross-Site Scripting (XSS) vulnerability in SAP CRM WebClient UI CA-WUI-UI-TAG Medium 4,3
2985905 New [CVE-2023-24524] Missing Authorization check in SAP S/4 HANA Map Treasury Correspondence Format Data CA-GTF-CSC-DME Medium 6,5
3275841 New [CVE-2023-23851] Unrestricted File Upload in SAP Business Planning and Consolidation EPM-BPC-NW-INF Medium 5,4
3293786 New [CVE-2023-23858] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-ABA-LA Medium 6,1
3281724 New [CVE-2023-0019] Missing Authorization check in SAP GRC (Process Control) GRC-SPC-AC Medium 6,5
3290901 New [CVE-2023-24528] Missing Authorization Check in SAP Fiori apps for Travel Management in SAP ERP (My Travel Requests) FI-TV-ODT-MTR Medium 6,5
3282663 New [CVE-2023-24529] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (Business Server Pages application) CA-GTF-PCF Medium 6,1
3274585 New [CVE-2023-25614] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP Medium 6,1
3269118 New [CVE-2023-24522] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP Medium 6,1
3269151 New [CVE-2023-24521] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP Medium 6,1
3271227 New [CVE-2023-23853] URL Redirection vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform BC-MID-ICF Medium 6,1
3268959 New [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform BC-MID-AC Medium 6,1
3266751 New [CVE-2023-23852] Cross-Site Scripting (XSS) vulnerability in SAP Solution Manager 7.2 SV-SMG-MON-SYS Medium 6,1
3265846 New [CVE-2023-0024] Cross Site Scripting in SAP Solution Manager (BSP Application) SV-SMG-SVD-SWB Medium 6,5
3267442 New [CVE-2023-0025] Cross Site Scripting in SAP Solution Manager (BSP Application) SV-SMG-SVD-SWB Medium 6,5
3270509 New [CVE-2023-23855] URL Redirection vulnerability in SAP Solution Manager SV-SMG-OP Medium 6,5
3263135 New [CVE-2023-0020] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence platform BI-BIP-INV High 8,5
3263863 New [CVE-2023-23856] Cross-Site Scripting (XSS) vulnerability in Web Intelligence Interface BI-RA-WBI-FE Medium 4,3
3262544 Update [CVE-2022-41262] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for Java (Http Provider Service) BC-JAS-WEB Medium 6,1
3268172 Update [CVE-2022-41264] Code Injection vulnerability in SAP BASIS BC-DB-HDB-POR High 8,8
3283283 Update [CVE-2023-0013] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-ABA-LA Medium 6,1