SAP, Temmuz yama günü için 16 güvenlik bildirimi yayınladı. Boşluklardan biri bu nedenle kritik bir risk olarak kabul edilir. BT yöneticileri güncellemeleri hızlı bir şekilde uygulamalıdır.
Reklamcılık
16 güvenlik uyarısından biri kritik bir güvenlik açığını, altı yüksek riskli sızıntıyı ve dokuzu orta düzey güvenlik açıklarını ele alıyor. Üretici ayrıca, Haziran ayında yaması yapılan SAP UI5 Variant Management’taki kritik bir güvenlik açığı ve yüksek riskli bir güvenlik açığına ilişkin bir güvenlik bildirimi içeren, sağlanan Google Chrome web tarayıcısını da güncelliyor.
Kritik güvenlik açığına karşı SAP güncellemesi
SAP ECC ve SAP S/4HANA’da (IS-OIL), oturum açmış saldırganlar, temel işletim sisteminde çalışan komutları, varsayılan olarak yüklenmiş bir uzantıda korumasız bir parametreyle enjekte edebilir. Bu, sistem verilerini okumalarına veya değiştirmelerine veya sistemi kapatmalarına olanak tanır (CVE-2023-36922, CVSS 9.1risk “kritik“).
SAP Netweaver’da (BI CONT ADD ON), yönetici olmayan kullanıcılar sistem dosyalarının üzerine yazmak için bir dizin geçişi güvenlik açığını kötüye kullanabilir ve böylece sistemi tehlikeye atabilir (CVE-2023-33989, CVSS 8.7, yüksek). SAP Web Dispatcher, kimliği doğrulanmamış saldırganların kendi kodlarını arka uç sunucuya gizlice sokmak ve oradaki bilgileri okumak, değiştirmek veya sunucuyu kapatmak için ağdan ön uç sunucuya birden fazla manipüle edilmiş istekle kötüye kullanabileceği bir güvenlik açığı içerir. geçici olarak Savaşı Ayarla (CVE-2023-33987, CVSS 8.6, yüksek).
SAP SQL Anywhere’de (CVE-2023-33990, CVSS) bir hizmet reddi güvenlik açığı da vardır. 7.8, yüksek), SAP Web Dispatcher’da (CVE-2023-35871, CVSS) olası bir bellek ihlali 7.7, yüksek), saldırganların SAP Solution Manager’da (Diagnostic Agent) (CVE-2023-36925, CVSS) ağdan oturum açmadan yararlanabilecekleri bir sunucu tarafı istek sahteciliği güvenlik açığı 7.2, yüksek) ve ek olarak SAP Solution Manager’da (Diagnostic Agent) (CVE-2023-36921, CVSS) olası bir başlık ekleme güvenlik açığı 7.2, yüksek).
Orta önemdeki tehditler, SAP NetWeaver Process Integration (Message Display Tool), SAP S/4HANA (Manage Journal Entry Template), SAP Enable Now, SAP NetWeaver AS ABAP ve ABAP Platformu, SAP BusinessObjects BI Platformu (Enterprise), SAP NetWeaver AS for for ile ilgilidir. Java (Günlük Görüntüleyici), SAP ERP Savunma Kuvvetleri ve Kamu Güvenliği ve SAP Business Warehouse ve SAP BW/4HANA.
Reklamcılık
SAP’nin yama günü raporu, daha fazla ayrıntı ve bireysel güvenlik notlarına bağlantılar sağlar. Haziran yama gününde, Walldorf merkezli şirket, iş yazılımındaki sekiz yeni güvenlik açığını kapattı. Bazıları yüksek riskli olarak sınıflandırılmıştır.
(dmk)
Haberin Sonu
Reklamcılık
16 güvenlik uyarısından biri kritik bir güvenlik açığını, altı yüksek riskli sızıntıyı ve dokuzu orta düzey güvenlik açıklarını ele alıyor. Üretici ayrıca, Haziran ayında yaması yapılan SAP UI5 Variant Management’taki kritik bir güvenlik açığı ve yüksek riskli bir güvenlik açığına ilişkin bir güvenlik bildirimi içeren, sağlanan Google Chrome web tarayıcısını da güncelliyor.
Kritik güvenlik açığına karşı SAP güncellemesi
SAP ECC ve SAP S/4HANA’da (IS-OIL), oturum açmış saldırganlar, temel işletim sisteminde çalışan komutları, varsayılan olarak yüklenmiş bir uzantıda korumasız bir parametreyle enjekte edebilir. Bu, sistem verilerini okumalarına veya değiştirmelerine veya sistemi kapatmalarına olanak tanır (CVE-2023-36922, CVSS 9.1risk “kritik“).
SAP Netweaver’da (BI CONT ADD ON), yönetici olmayan kullanıcılar sistem dosyalarının üzerine yazmak için bir dizin geçişi güvenlik açığını kötüye kullanabilir ve böylece sistemi tehlikeye atabilir (CVE-2023-33989, CVSS 8.7, yüksek). SAP Web Dispatcher, kimliği doğrulanmamış saldırganların kendi kodlarını arka uç sunucuya gizlice sokmak ve oradaki bilgileri okumak, değiştirmek veya sunucuyu kapatmak için ağdan ön uç sunucuya birden fazla manipüle edilmiş istekle kötüye kullanabileceği bir güvenlik açığı içerir. geçici olarak Savaşı Ayarla (CVE-2023-33987, CVSS 8.6, yüksek).
SAP SQL Anywhere’de (CVE-2023-33990, CVSS) bir hizmet reddi güvenlik açığı da vardır. 7.8, yüksek), SAP Web Dispatcher’da (CVE-2023-35871, CVSS) olası bir bellek ihlali 7.7, yüksek), saldırganların SAP Solution Manager’da (Diagnostic Agent) (CVE-2023-36925, CVSS) ağdan oturum açmadan yararlanabilecekleri bir sunucu tarafı istek sahteciliği güvenlik açığı 7.2, yüksek) ve ek olarak SAP Solution Manager’da (Diagnostic Agent) (CVE-2023-36921, CVSS) olası bir başlık ekleme güvenlik açığı 7.2, yüksek).
Orta önemdeki tehditler, SAP NetWeaver Process Integration (Message Display Tool), SAP S/4HANA (Manage Journal Entry Template), SAP Enable Now, SAP NetWeaver AS ABAP ve ABAP Platformu, SAP BusinessObjects BI Platformu (Enterprise), SAP NetWeaver AS for for ile ilgilidir. Java (Günlük Görüntüleyici), SAP ERP Savunma Kuvvetleri ve Kamu Güvenliği ve SAP Business Warehouse ve SAP BW/4HANA.
Reklamcılık
SAP’nin yama günü raporu, daha fazla ayrıntı ve bireysel güvenlik notlarına bağlantılar sağlar. Haziran yama gününde, Walldorf merkezli şirket, iş yazılımındaki sekiz yeni güvenlik açığını kapattı. Bazıları yüksek riskli olarak sınıflandırılmıştır.
(dmk)
Haberin Sonu