SNOK, jako wiodąca firma konsultingowa SAP, informuje o najnowszych aktualizacjach bezpieczeństwa dla systemów SAP. Comiesięczny SAP Security Patch Day, który miał miejsce 10 września 2024 roku, przyniósł istotne zmiany, o których powinni wiedzieć wszyscy użytkownicy SAP.
SAP opublikował 16 nowych Not Bezpieczeństwa i zaktualizował 3 wcześniej wydane noty. Te poprawki dotyczą różnych luk w zabezpieczeniach w wielu produktach SAP i powinny być niezwłocznie zastosowane w celu utrzymania bezpieczeństwa środowiska SAP.
Kluczowe informacje
-
Hot News: Najważniejsza aktualizacja tego miesiąca dotyczy SAP BusinessObjects Business Intelligence Platform (Nota #3479478). Z oceną CVSS 9.8, ta poprawka adresuje brak kontroli uwierzytelniania i jest klasyfikowana jako Hot News. Użytkownicy tej platformy powinni natychmiast zwrócić na nią uwagę.
-
High: Luka związana z ujawnianiem informacji w SAP Commerce Cloud (Nota #3459935) otrzymała ocenę wysokiego priorytetu z wynikiem CVSS 7.4.
-
Medium: Większość poprawek wydanych w tym miesiącu należy do kategorii średniego priorytetu, z ocenami CVSS od 4.3 do 6.5. Dotyczą one różnych problemów, w tym:
-
Luk typu Cross-Site Scripting (XSS)
-
Brakujących kontroli autoryzacji
-
Luk związanych z ujawnianiem informacji
-
Luki związanej z przejęciem biblioteki DLL
-
Dotknięte Produkty: Produktów SAP, których dotyczą aktualizacje, to:
-
SAP BusinessObjects Business Intelligence Platform
-
SAP Commerce Cloud
-
SAP S/4HANA
-
SAP NetWeaver Application Server for ABAP and ABAP Platform
-
SAP Business Warehouse (BW)
-
SAP for Oil & Gas
-
SAP Replication Server
-
SAP Production and Revenue Accounting (Tobin interface)
-
SAP NetWeaver Enterprise Portal
-
SAP NetWeaver Application Server for Java
-
SAP Student Life Cycle Management (SLcM)
-
SAP NetWeaver AS Java (Logon Application)
Note# Title Priority CVSS
3479478 Update to Security Note released on August 2024 Patch Day: [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform Product - SAP BusinessObjects Business Intelligence Platform, Versions - ENTERPRISE 430, 440 Hot News 9.8
3459935 Update to Security Note released on August 2024 Patch Day: [CVE-2024-33003] Information Disclosure Vulnerability in SAP Commerce Cloud Product - SAP Commerce Cloud, Versions - HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211 High 7.4
3495876 Update to Security Note released on August 2024 Patch Day: [Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS) CVEs - CVE-2023-0215, CVE-2022-0778 , CVE-2023-0286 Product - SAP Replication Server, Versions - 16.0.3, 16.0.4 Medium 6.5
3488341 [CVE-2024-45286] Missing Authorization check in SAP Production and Revenue Accounting (Tobin interface) Product - SAP Production and Revenue Accounting (Tobin interface), Versions - S4CEXT 106, S4CEXT 107, S4CEXT 108, IS-PRA 605, IS-PRA 606, IS-PRA 616, IS-PRA 617, IS-PRA 618, IS-PRA 800, IS-PRA 801, IS-PRA 802, IS-PRA 803, IS-PRA 804, IS-PRA 805 Medium 6.5
3497347 [CVE-2024-42378] Cross-Site Scripting (XSS) in eProcurement on S/4HANA Product - SAP S/4HANA eProcurement, Versions - SAP_APPL 606, SAP_APPL 617, SAP_APPL 618, S4CORE 102, S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108 Medium 6.1
3501359 [CVE-2024-45279] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server for ABAP(CRM Blueprint Application Builder Panel) Product - SAP NetWeaver Application Server for ABAP (CRM Blueprint Application Builder Panel), Versions - 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H, 75I Medium 6.1
3477359 [CVE-2024-45283] Information disclosure vulnerability in SAP NetWeaver AS for Java (Destination Service) Product - SAP NetWeaver AS for Java (Destination Service), Versions - 7.50 Medium 6.0
3430336 [CVE-2013-3587] Information Disclosure vulnerability in SAP Commerce Cloud Product - SAP Commerce Cloud, Version - COM_CLOUD 2211 Medium 5.9
3425287 [CVE-2024-45281] DLL hijacking vulnerability in SAP BusinessObjects Business Intelligence Platform Product - SAP BusinessObjects Business Intelligence Platform, Version - 430 Medium 5.8
3488039 [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver Application Server for ABAP and ABAP Platform CVEs - CVE-2024-42371, CVE-2024-44117, CVE-2024-45285, CVE-2024-42380, CVE-2024-44115, CVE-2024-44116 Product - SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912 Medium 5.4
3505503 [CVE-2024-45280] Cross-Site Scripting (XSS) Vulnerability in SAP NetWeaver AS Java (Logon Application) Product - SAP NetWeaver AS Java (Logon Application), Version - 7.50 Medium 4.8
3498221 [CVE-2024-44120] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal Product - SAP NetWeaver Enterprise Portal, Version - 7.50 Medium 4.7
3481992 [CVE-2024-44113] Information Disclosure vulnerability in the SAP Business Warehouse (BEx Analyzer) Product - SAP Business Warehouse (BEx Analyzer), Versions - DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758 Medium 4.3
3481588 [CVE-2024-41729] Information Disclosure vulnerability in the SAP NetWeaver BW (BEx Analyzer) Product - SAP NetWeaver BW (BEx Analyzer), Versions - DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758 Medium 4.3
3437585 [CVE-2024-44121] Information Disclosure in SAP S/4 HANA (Statutory Reports) Product - SAP S/4 HANA, Version - 900 Medium 4.3
3505293 [CVE-2024-44112] Missing Authorization check in SAP for Oil & Gas (Transportation and Distribution) Product - SAP for Oil & Gas, Versions - 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807, 807 Medium 4.3
2256627 [CVE-2024-45284] Missing authorization check in SAP Student Life Cycle Management (SLcM) Product - SAP Student Life Cycle Management (SLcM), Versions - 617, 618, 800, 802, 803, 804, 805, 806, 807, 808 Low 2.7
3496410 [CVE-2024-41728] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform Product - SAP NetWeaver Application Server for ABAP and ABAP Platform, Version - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912 Low 2.7
3507252 [CVE-2024-44114] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform Product - SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions - 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912 Low 2.0
Zalecenia dla klientów SNOK
-
Priorytetyzacja Aktualizacji: Skupcie się najpierw na zastosowaniu poprawek oznaczonych jako Hot News i High Priority, szczególnie jeśli korzystacie z SAP BusinessObjects BI Platform lub SAP Commerce Cloud.
-
Przegląd Środowiska: Oceńcie, które z dotkniętych produktów i wersji są obecne w Waszym środowisku SAP, aby określić, które poprawki są dla Was istotne.
-
Zaplanowanie Strategii Aktualizacji: Opracujcie systematyczne podejście do wdrożenia tych poprawek, biorąc pod uwagę potencjalne przestoje lub wpływ na system.
-
Testowanie Przed Produkcją: Zawsze testujcie poprawki w środowisku nieprodukcyjnym przed zastosowaniem ich w systemach produkcyjnych.
-
Bądźcie na Bieżąco: Regularnie sprawdzajcie Portal Wsparcia SAP, aby uzyskać najbardziej aktualne informacje o poprawkach bezpieczeństwa i najlepszych praktykach.
Jak SNOK może pomóc
Nasz zespół ekspertów ds. bezpieczeństwa SAP w SNOK jest gotowy, aby pomóc Wam:
-
Przeanalizować wpływ tych poprawek bezpieczeństwa na Wasze konkretne środowisko SAP
-
Opracować i wdrożyć strategię aktualizacji dostosowaną do potrzeb Waszej firmy
-
Zapewnić ciągłe wsparcie, aby Wasze systemy SAP pozostały bezpieczne i aktualne
Nie pozwólcie, aby luki w zabezpieczeniach naraziły Wasz biznes na ryzyko. Skontaktujcie się z SNOK już dziś, aby upewnić się, że Wasze systemy SAP są chronione najnowszymi aktualizacjami bezpieczeństwa.
Bezpieczeństwo w świecie SAP to nie meta, którą osiągamy, lecz droga, którą nieustannie kroczymy. Każda aktualizacja, każde zabezpieczenie to kolejny krok na tej ścieżce. SNOK jest gotowy, by być Waszym przewodnikiem - oferując nie tylko wiedzę, ale i doświadczenie w nawigowaniu przez meandry bezpieczeństwa SAP. Razem możemy wyprzedzać zagrożenia, zamiast na nie reagować. Zróbmy ten krok ku bezpieczniejszemu środowisku SAP już dziś.