SAP 2023年的首个安全更新解决了关键漏洞

2023年1月13日17:53:36评论82 views字数 2292阅读7分38秒阅读模式

SAP 本周宣布发布 12 个新的和更新的安全说明，作为 2023 年 1 月安全补丁日的一部分，其中包括 7 个解决严重漏洞的“热点新闻”说明。

被评为“热点新闻”的安全说明中有四个是SAP 书中严重程度最高的安全说明，它们是解决 Business Planning and Consolidation MS、BusinessObjects 和 NetWeaver 中漏洞的新说明，而其余三个是对 2022 年 11 月和 2022 年 12 月发布的说明的更新.

最严重的新说明解决了 Business Planning and Consolidation MS 中的 SQL 注入错误（CVE-2023-0016，CVSS 得分为 9.9），以及 BusinessObjects 商业智能平台中的代码注入缺陷（CVE-2023-0022，CVSS 9.9 分）。

根据企业安全公司 Onapsis 的说法，这些问题中的第一个可以被利用来在易受攻击的应用程序中执行精心设计的数据库查询，从而允许攻击者读取、修改或删除任意数据。

可以通过网络利用代码注入漏洞，从而影响应用程序的机密性、完整性和可用性。

“该说明包含针对无法立即提供此补丁的客户的补丁和解决方法。但是，此解决方法只能用作临时解决方案，因为它会删除、停止或禁用受影响的服务，” Onapsis 解释道。

其余新的“热点新闻”说明解决了 NetWeaver AS for Java 中的不当访问控制错误（CVE-2023-0017，CVSS 评分为 9.4）以及 NetWeaver AS for ABAP 和 ABAP 平台中的捕获重放漏洞（CVE-2023 -0014，CVSS 得分为 9.0）。

通过利用第一个问题，未经身份验证的攻击者可以访问和修改用户数据并使系统服务不可用。

捕获重放错误影响受信任的 RFC 和 HTTP 通信的架构，允许攻击者获得对 SAP 系统的未授权访问。

Onapsis 表示，缓解该漏洞可能具有挑战性，因为它涉及应用“内核补丁、ABAP 补丁以及所有受信任的 RFC 和 HTTP 目标的手动迁移”。

SAP 还更新了三个“热点新闻”说明，解决了 BusinessObjects 中不受信任的数据缺陷的不安全反序列化 (CVE-2022-41203) 和 NetWeaver 中的两个不当访问控制问题（CVE-2022-4127 和 CVE-2022-41271）。

在 SAP 的 1 月安全补丁日发布的其余五份说明解决了 Host Agent (Windows)、NetWeaver、BusinessObjects 和银行账户管理（管理银行）中的中等严重漏洞。

原文：https://www.securityweek.com/saps-first-security-updates-2023-resolve-critical-vulnerabilities

原文始发于微信公众号（祺印说信安）：SAP 2023年的首个安全更新解决了关键漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

SAP 2023年的首个安全更新解决了关键漏洞

可绕过安全警告并自启Python脚本，电报修复其Windows桌面客户端中的零日漏洞

CNVD漏洞周报2024年第15期

【漏洞通告】OpenMetadata身份验证绕过漏洞（CVE-2024-28255）

xz活跃维护者潜伏三年——添加恶意代码、植入SSH后门

新型 SteganoAmor 攻击利用隐写术攻击全球 320 个组织

网络攻击离你有多近？这场模拟实验告诉你→

【在野利用】Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)安全风险通告

犯罪分子操纵GitHub的搜索结果来分发恶意软件

加拿大零售连锁巨头巨虎可能发生了数据泄露事件，可能影响了数百万客户

LastPass员工成为音频Deepfake电话的目标

发表评论

在线咨询

微信