SAP 2023年的首个安全更新解决了关键漏洞

admin 2023年1月13日17:53:36安全新闻评论19 views2292字阅读7分38秒阅读模式

SAP 本周宣布发布 12 个新的和更新的安全说明,作为 2023 年 1 月安全补丁日的一部分,其中包括 7 个解决严重漏洞的“热点新闻”说明。

被评为“热点新闻”的安全说明中有四个是SAP 书中严重程度最高的安全说明,它们是解决 Business Planning and Consolidation MS、BusinessObjects 和 NetWeaver 中漏洞的新说明,而其余三个是对 2022 年 11 月和 2022 年 12 月发布的说明的更新.

SAP 2023年的首个安全更新解决了关键漏洞

最严重的新说明解决了 Business Planning and Consolidation MS 中的 SQL 注入错误(CVE-2023-0016,CVSS 得分为 9.9),以及 BusinessObjects 商业智能平台中的代码注入缺陷(CVE-2023-0022,CVSS 9.9 分)。

根据企业安全公司 Onapsis 的说法,这些问题中的第一个可以被利用来在易受攻击的应用程序中执行精心设计的数据库查询,从而允许攻击者读取、修改或删除任意数据。

可以通过网络利用代码注入漏洞,从而影响应用程序的机密性、完整性和可用性。

“该说明包含针对无法立即提供此补丁的客户的补丁和解决方法。但是,此解决方法只能用作临时解决方案,因为它会删除、停止或禁用受影响的服务,” Onapsis 解释道

其余新的“热点新闻”说明解决了 NetWeaver AS for Java 中的不当访问控制错误(CVE-2023-0017,CVSS 评分为 9.4)以及 NetWeaver AS for ABAP 和 ABAP 平台中的捕获重放漏洞(CVE-2023 -0014,CVSS 得分为 9.0)。

通过利用第一个问题,未经身份验证的攻击者可以访问和修改用户数据并使系统服务不可用。

捕获重放错误影响受信任的 RFC 和 HTTP 通信的架构,允许攻击者获得对 SAP 系统的未授权访问。

Onapsis 表示,缓解该漏洞可能具有挑战性,因为它涉及应用“内核补丁、ABAP 补丁以及所有受信任的 RFC 和 HTTP 目标的手动迁移”。

SAP 还更新了三个“热点新闻”说明,解决了 BusinessObjects 中不受信任的数据缺陷的不安全反序列化 (CVE-2022-41203) 和 NetWeaver 中的两个不当访问控制问题(CVE-2022-4127 和 CVE-2022-41271)。

在 SAP 的 1 月安全补丁日发布的其余五份说明解决了 Host Agent (Windows)、NetWeaver、BusinessObjects 和银行账户管理(管理银行)中的中等严重漏洞。

原文:https://www.securityweek.com/saps-first-security-updates-2023-resolve-critical-vulnerabilities

  1. >>>等级保护<<<
  2. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  3. 网络安全等级保护:等级保护测评过程及各方责任
  4. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  5. 网络安全等级保护:什么是等级保护?
  6. 网络安全等级保护:信息技术服务过程一般要求
  7. 网络安全等级保护:等级保护测评过程要求PPT
  8. 等级保护测评之安全物理环境测评PPT
  9. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  10. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  11. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  12. 闲话等级保护:测评师能力要求思维导图
  13. 闲话等级保护:应急响应计划规范思维导图
  14. 闲话等级保护:浅谈应急响应与保障
  15. 闲话等级保护:如何做好网络总体安全规划
  16. 闲话等级保护:如何做好网络安全设计与实施
  17. 闲话等级保护:要做好网络安全运行与维护
  18. 闲话等级保护:人员离岗管理的参考实践
  19. 网络安全等级保护:浅谈物理位置选择测评项

  20. 信息安全服务与信息系统生命周期的对应关系
  21. >>>工控安全<<<
  22. 工业控制系统安全:信息安全防护指南
  23. 工业控制系统安全:工控系统信息安全分级规范思维导图
  24. 工业控制系统安全:DCS防护要求思维导图
  25. 工业控制系统安全:DCS管理要求思维导图
  26. 工业控制系统安全:DCS评估指南思维导图
  27. 工业控制安全:工业控制系统风险评估实施指南思维导图
  28. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  29. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  30. >>>数据安全<<<
  31. 数据安全风险评估清单

  32. 成功执行数据安全风险评估的3个步骤

  33. 美国关键信息基础设施数据泄露的成本

  34. VMware 发布9.8分高危漏洞补丁

  35. 备份:网络和数据安全的最后一道防线

  36. 数据安全:数据安全能力成熟度模型

  37. 数据安全知识:什么是数据保护以及数据保护为何重要?

  38. 信息安全技术:健康医疗数据安全指南思维导图

  39. >>>供应链安全<<<

  40. 美国政府为客户发布软件供应链安全指南

  41. OpenSSF 采用微软内置的供应链安全框架

  42. 供应链安全指南:了解组织为何应关注供应链网络安全

  43. 供应链安全指南:确定组织中的关键参与者和评估风险

  44. 供应链安全指南:了解关心的内容并确定其优先级

  45. 供应链安全指南:为方法创建关键组件

  46. 供应链安全指南:将方法整合到现有供应商合同中

  47. 供应链安全指南:将方法应用于新的供应商关系

  48. 供应链安全指南:建立基础,持续改进。
  49. 思维导图:ICT供应链安全风险管理指南思维导图

  50. 英国的供应链网络安全评估
  51. >>>其他<<<

  52. 网络安全十大安全漏洞

  53. 网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图

  54. 网络安全等级保护:应急响应计划规范思维导图

  55. 安全从组织内部人员开始

  56. 影响2022 年网络安全的五个故事

  57. 2023年的4大网络风险以及如何应对

  58. 网络安全知识:物流业的网络安全


原文始发于微信公众号(祺印说信安):SAP 2023年的首个安全更新解决了关键漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月13日17:53:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  SAP 2023年的首个安全更新解决了关键漏洞 https://cn-sec.com/archives/1516802.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: