SAP, Temmuz yama günü için 16 güvenlik bildirimi yayınladı. Boşluklardan biri bu nedenle kritik bir risk olarak kabul edilir. BT yöneticileri güncellemeleri hızla uygulamalıdır.
Duyuru
16 güvenlik uyarısından biri kritik bir güvenlik açığı, altı yüksek riskli sızıntı ve dokuzu orta düzey güvenlik açıklarıyla ilgilidir. Üretici ayrıca, kritik bir güvenlik açığı içeren sağlanan Google Chrome web tarayıcısını ve Haziran ayında düzeltilen SAP UI5 Variant Management’taki yüksek riskli bir güvenlik açığı hakkında bir güvenlik danışma belgesini güncelliyor.
Kritik güvenlik açığına karşı SAP güncellemesi
SAP ECC ve SAP S/4HANA’da (IS-OIL), oturum açmış saldırganlar, temel işletim sisteminde yürütülen komutları korumasız bir parametreyle önceden tanımlanmış bir kurulu uzantıya ekleyebilir. Bu, sistem verilerini okumalarına veya değiştirmelerine veya sistemi kapatmalarına olanak tanır (CVE-2023-36922, CVSS 9.1risk”eleştirmen“).
SAP Netweaver’da (BI CONT ADD ON), yönetici olmayan kullanıcılar, sistem dosyalarının üzerine yazmak için bir dizin geçişi güvenlik açığını kötüye kullanabilir ve böylece sistemi tehlikeye atabilir (CVE-2023-33989, CVSS 8.7, yüksek). SAP Web Dispatcher, kimliği doğrulanmamış saldırganların ön uç sunucuya kodlarını arka uç sunucuya kaçırmak ve oradaki bilgileri okumak, değiştirmek veya sunucuyu geçici olarak kapatmak için ön uç sunucuya yönelik birden çok ağ tarafından yönetilen isteklerle kötüye kullanabileceği bir güvenlik açığı içerir. CVE-2023-33987, CVSS 8.6, yüksek).
SAP SQL Anywhere’de (CVE-2023-33990, CVSS) bir Hizmet Reddi güvenlik açığı da vardır. 7.8, yüksek), SAP Web Dispatcher’da (CVE-2023-35871, CVSS) olası bir bellek ihlali 7.7, yüksek), saldırganların SAP Solution Manager’da (Diagnostic Agent) ağ erişimi olmadan yararlanabileceği bir sunucu tarafı istek sahteciliği güvenlik açığı (CVE-2023-36925, CVSS) 7.2, yüksek) ve ayrıca SAP Solution Manager’da (Diagnostic Agent) (CVE-2023-36921, CVSS) olası bir başlık ekleme güvenlik açığı 7.2, yüksek).
Orta önem dereceli tehditler arasında SAP NetWeaver Process Integration (Message Display Tool), SAP S/4HANA (Manage Journal Entry Template), SAP Enable Now, SAP NetWeaver AS ABAP ve ABAP Platformu, SAP BusinessObjects BI Platformu (Enterprise), SAP NetWeaver AS for for Java (günlük görüntüleyici), SAP ERP Savunma Kuvvetleri ve Kamu Güvenliği, SAP Business Warehouse ve SAP BW/4HANA.
Duyuru
SAP’nin yama günü raporu, daha fazla ayrıntı ve bireysel güvenlik notlarına bağlantılar sağlar. Haziran ayındaki yama gününde, Walldorf merkezli şirket kurumsal yazılımında sekiz yeni güvenlik açığı yama yaptı. Bazıları yüksek riskli olarak sınıflandırılmıştır.
(dmk)
Haberin Sonu
Duyuru
16 güvenlik uyarısından biri kritik bir güvenlik açığı, altı yüksek riskli sızıntı ve dokuzu orta düzey güvenlik açıklarıyla ilgilidir. Üretici ayrıca, kritik bir güvenlik açığı içeren sağlanan Google Chrome web tarayıcısını ve Haziran ayında düzeltilen SAP UI5 Variant Management’taki yüksek riskli bir güvenlik açığı hakkında bir güvenlik danışma belgesini güncelliyor.
Kritik güvenlik açığına karşı SAP güncellemesi
SAP ECC ve SAP S/4HANA’da (IS-OIL), oturum açmış saldırganlar, temel işletim sisteminde yürütülen komutları korumasız bir parametreyle önceden tanımlanmış bir kurulu uzantıya ekleyebilir. Bu, sistem verilerini okumalarına veya değiştirmelerine veya sistemi kapatmalarına olanak tanır (CVE-2023-36922, CVSS 9.1risk”eleştirmen“).
SAP Netweaver’da (BI CONT ADD ON), yönetici olmayan kullanıcılar, sistem dosyalarının üzerine yazmak için bir dizin geçişi güvenlik açığını kötüye kullanabilir ve böylece sistemi tehlikeye atabilir (CVE-2023-33989, CVSS 8.7, yüksek). SAP Web Dispatcher, kimliği doğrulanmamış saldırganların ön uç sunucuya kodlarını arka uç sunucuya kaçırmak ve oradaki bilgileri okumak, değiştirmek veya sunucuyu geçici olarak kapatmak için ön uç sunucuya yönelik birden çok ağ tarafından yönetilen isteklerle kötüye kullanabileceği bir güvenlik açığı içerir. CVE-2023-33987, CVSS 8.6, yüksek).
SAP SQL Anywhere’de (CVE-2023-33990, CVSS) bir Hizmet Reddi güvenlik açığı da vardır. 7.8, yüksek), SAP Web Dispatcher’da (CVE-2023-35871, CVSS) olası bir bellek ihlali 7.7, yüksek), saldırganların SAP Solution Manager’da (Diagnostic Agent) ağ erişimi olmadan yararlanabileceği bir sunucu tarafı istek sahteciliği güvenlik açığı (CVE-2023-36925, CVSS) 7.2, yüksek) ve ayrıca SAP Solution Manager’da (Diagnostic Agent) (CVE-2023-36921, CVSS) olası bir başlık ekleme güvenlik açığı 7.2, yüksek).
Orta önem dereceli tehditler arasında SAP NetWeaver Process Integration (Message Display Tool), SAP S/4HANA (Manage Journal Entry Template), SAP Enable Now, SAP NetWeaver AS ABAP ve ABAP Platformu, SAP BusinessObjects BI Platformu (Enterprise), SAP NetWeaver AS for for Java (günlük görüntüleyici), SAP ERP Savunma Kuvvetleri ve Kamu Güvenliği, SAP Business Warehouse ve SAP BW/4HANA.
Duyuru
SAP’nin yama günü raporu, daha fazla ayrıntı ve bireysel güvenlik notlarına bağlantılar sağlar. Haziran ayındaki yama gününde, Walldorf merkezli şirket kurumsal yazılımında sekiz yeni güvenlik açığı yama yaptı. Bazıları yüksek riskli olarak sınıflandırılmıştır.
(dmk)
Haberin Sonu