Przejdź do treści

Bezpieczny wtorek ze SNOK – Kluczowe aktualizacje z lutowego SAP Patch Day

Lutowy SAP Patch Day to moment, w którym branża IT z wypiekami na twarzach śledzi najnowsze aktualizacje bezpieczeństwa od SAP. W tym roku nie było…

Lutowy SAP Patch Day to moment, w którym branża IT z wypiekami na twarzach śledzi najnowsze aktualizacje bezpieczeństwa od SAP. W tym roku nie było inaczej, a luty przyniósł nam aż dwadzieścia sześć nowych i zaktualizowanych notatek bezpieczeństwa, w tym jedną notatkę HotNews i pięć notatek o wysokim priorytecie. Dla specjalistów od SAP, takich jak my w SNOK, jest to kluczowy moment, aby zapewnić, że systemy naszych klientów są zabezpieczone przed najnowszymi zagrożeniami.

Co nowego w lutym?

Wśród wydań znalazła się notatka HotNews dotycząca SAP Business Client, która załatała pięćdziesiąt cztery luki w Chromium, w tym dwadzieścia dwa patche o wysokim priorytecie. Najwyższy wynik CVSS spośród wszystkich załatanych luk to 8.8, co pokazuje, jak poważne mogą być te zagrożenia.

Jednak to nie wszystko. Dwie z pięciu notatek o wysokim priorytecie to zaktualizowane wersje wcześniej wydanych notatek, które po raz pierwszy pojawiły się w grudniu. Dotyczą one m.in. SAP Host Agent i SAP Business Planning and Consolidation, gdzie najpoważniejsza luka umożliwiała wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami administratora.

Szczegóły nowych notatek o wysokim priorytecie

Wśród nowych notatek o wysokim priorytecie znalazła się jedna, która dotyczyła SAP Host Agent. Luka ta pozwalała nieautoryzowanemu użytkownikowi z lokalnym dostępem do portu serwera przypisanego do usługi SAP Host Agent na wysłanie specjalnie spreparowanego żądania usługi sieciowej z dowolnym poleceniem systemu operacyjnego, które było wykonywane z uprawnieniami administratora. To poważne zagrożenie dla poufności, integralności i dostępności systemu.

Dlaczego to ważne dla SNOK i naszych klientów?

Jako złoty partner SAP w SNOK doskonale rozumiemy znaczenie utrzymania najwyższego poziomu bezpieczeństwa systemów naszych klientów. Lutowy SAP Patch Day to przypomnienie o ciągłej potrzebie monitorowania i aktualizacji systemów w celu ochrony przed nowymi i ewoluującymi zagrożeniami.

Jak SNOK pomaga klientom w zarządzaniu patchami?

W SNOK oferujemy kompleksowe usługi w zakresie SAP BASIS, analiz SAP, cyberbezpieczeństwa i pentestów SAP oraz zaufanego doradztwa w tych dziedzinach. Nasze doświadczenie i partnerstwa pozwalają nam nie tylko śledzić najnowsze aktualizacje bezpieczeństwa od SAP, ale także efektywnie zarządzać i implementować te aktualizacje w systemach naszych klientów.

Podsumowanie

Lutowy SAP Patch Day przyniósł szereg ważnych aktualizacji, które mają na celu ochronę systemów SAP przed najnowszymi zagrożeniami. W SNOK dbamy o to, żeby nasze usługi i rozwiązania były zawsze na bieżąco z najlepszymi praktykami bezpieczeństwa, aby nasi klienci mogli skupić się na swojej działalności, wiedząc, że ich systemy są bezpieczne.

W dzisiejszych czasach, kiedy cyberzagrożenia ewoluują z dnia na dzień, nie można lekceważyć znaczenia regularnych aktualizacji bezpieczeństwa.

Zachęcamy wszystkich administratorów SAP do regularnego monitorowania wydań SAP Patch Day i wdrażania zalecanych aktualizacji. Pamiętajcie, że bezpieczeństwo systemów to proces, a nie jednorazowe działanie. W SNOK jesteśmy tutaj, aby wspierać Was w tym procesie, oferując naszą wiedzę, doświadczenie i dedykowane usługi.

Dodatek - szczegółowe noty z lutowego SAP Patch Day

SAP Note Type Description Priority CVSS

2622660 Update Security updates for the browser control Google Chromium delivered with SAP Business Client BC-FES-BUS-DSKK HotNews 10,0

3271091 Update [CVE-2022-41268] Privilege escalation vulnerability in SAP Business Planning and Consolidation EPM-BPC-NW High 8,5

3256787 New [CVE-2023-24530] Unrestricted Upload of File in SAP BusinessObjects Business Intelligence Platform (CMC) BI-BIP-CMC High 8,4

3287291 New [CVE-2023-23854] Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform BC-DWB-TOO-ABA Low 3,8

3285757 New [CVE-2023-24523] Privilege Escalation vulnerability in SAP Host Agent (Start Service) BC-CCM-HAG High 8,8

2788178 New [CVE-2023-24525] Cross-Site Scripting (XSS) vulnerability in SAP CRM WebClient UI CA-WUI-UI-TAG Medium 4,3

2985905 New [CVE-2023-24524] Missing Authorization check in SAP S/4 HANA Map Treasury Correspondence Format Data CA-GTF-CSC-DME Medium 6,5

3275841 New [CVE-2023-23851] Unrestricted File Upload in SAP Business Planning and Consolidation EPM-BPC-NW-INF Medium 5,4

3293786 New [CVE-2023-23858] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-ABA-LA Medium 6,1

3281724 New [CVE-2023-0019] Missing Authorization check in SAP GRC (Process Control) GRC-SPC-AC Medium 6,5

3290901 New [CVE-2023-24528] Missing Authorization Check in SAP Fiori apps for Travel Management in SAP ERP (My Travel Requests) FI-TV-ODT-MTR Medium 6,5

3282663 New [CVE-2023-24529] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (Business Server Pages application) CA-GTF-PCF   Medium 6,1

3274585 New [CVE-2023-25614] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP Medium 6,1

3269118 New [CVE-2023-24522] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP Medium 6,1

3269151 New [CVE-2023-24521] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP Medium 6,1

3271227 New [CVE-2023-23853] URL Redirection vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform BC-MID-ICF Medium 6,1

3268959 New [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform BC-MID-AC Medium 6,1

3266751 New [CVE-2023-23852] Cross-Site Scripting (XSS) vulnerability in SAP Solution Manager 7.2 SV-SMG-MON-SYS Medium 6,1

3265846 New [CVE-2023-0024] Cross Site Scripting in SAP Solution Manager (BSP Application) SV-SMG-SVD-SWB Medium 6,5

3267442 New [CVE-2023-0025] Cross Site Scripting in SAP Solution Manager (BSP Application) SV-SMG-SVD-SWB Medium 6,5

3270509 New [CVE-2023-23855] URL Redirection vulnerability in SAP Solution Manager SV-SMG-OP Medium 6,5

3263135 New [CVE-2023-0020] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence platform BI-BIP-INV High 8,5

3263863 New [CVE-2023-23856] Cross-Site Scripting (XSS) vulnerability in Web Intelligence Interface BI-RA-WBI-FE Medium 4,3

3262544 Update [CVE-2022-41262] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for Java (Http Provider Service) BC-JAS-WEB Medium 6,1

3268172 Update [CVE-2022-41264] Code Injection vulnerability in SAP BASIS BC-DB-HDB-POR High 8,8

3283283 Update [CVE-2023-0013] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-ABA-LA Medium 6,1

Tematy: Bezpieczny Wtorek bezpieczenstwo-sap SAP S/4HANA

Skontaktuj się z nami