Firma SAP publikuje aktualizacje bezpieczeństwa 10/2024 (P24-324)

8 października 2024 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa w celu rozwiązania luk w zabezpieczeniach wielu produktów.

Notatka SAP 3479478 została ponownie zaktualizowana w tym miesiącu i jest to trzeci raz z rzędu, kiedy ta notatka jest częścią miesięcznego wydania. Tym razem udostępniono poprawkę dla wersji 420 platformy Business Objects.

Wysoki priorytet

Wiele pakietów oprogramowania korzysta z bibliotek typu open source, a w przypadku pakietów SAP nie jest to wyjątkiem. Gdy występuje problem z tymi bibliotekami, wymagana jest poprawka oprogramowania, aby upewnić się, że używane są bezpieczne wersje tych bibliotek. Notatka SAP 3523541 opisuje taką sytuację dla SAP Enterprise Project Connection.

Notatka SAP 3478615 ponownie dotyczy luki w zabezpieczeniach, która umożliwia złośliwe przesyłanie plików. Patrząc wstecz na miesięczne rundy poprawek z ubiegłego roku, niezwykłe jest, jak powszechny jest to wektor ataku. Tym razem dotyczy platformy Business Objects w komponencie Web Intelligence. Bardzo ważne: zastosowanie poprawki nie wystarczy! Musisz utworzyć plik na serwerze, jak opisano w notatce, aby naprawdę naprawić tę lukę.

Notatka SAP 3483344 dotyczy aktualizacji o braku kontroli autoryzacji, dla której jest teraz dostępna również poprawka dla systemów SEM-BW. Jeśli masz systemy z tymi komponentami, przejrzyj i zastosuj poprawkę w razie potrzeby.

Średni priorytet

Notatka 3520100: ta luka dotyczy klienta SAP HANA, oddzielnego klienta, który można zainstalować w celu zintegrowania systemów innych firm z bazami danych SAP HANA. Jest to typowy przykład aplikacji, która jest pomijana w środowiskach IT.

Notatka 3481588: notatkę zaktualizowano o instrukcje dotyczące poprawek dla wersji SAP BW 700 do 702.

Notatka 3479293: ta notatka okazuje się być istotna tylko dla produktu SLCM lub przełącznika ISHERCM_MAIN, który jest aktywowany.

Notatka 3454858: instrukcje ręczne zostały znacznie udoskonalone.

Link	OPIS	Krytyczność	CVSS
3479478	[CVE-2024-41730] Brak kontroli uwierzytelniania w SAP BusinessObjects Business Intelligence Platform Komponenty: BI-BIP-INV Kategoria: Błąd programu	Krytyczna	9.8
3523541	[CVE-2022-23302] Wiele luk w zabezpieczeniach SAP Enterprise Project Connection Komponenty: CA-EPC Kategoria: Błąd programu	Wysoka	8.0
3478615	[CVE-2024-37179] Luka w zabezpieczeniach operacji na plikach w SAP BusinessObjects Business Intelligence Platform (Web Intelligence) Komponenty: BI-RA-WBI-BE Kategoria: Błąd programu	Wysoka	7.7
3483344	[CVE-2024-39592] Brak kontroli autoryzacji w SAP PDCE Komponenty: FIN-BA Kategoria: Błąd programu	Wysoka	7.7
3477359	[CVE-2024-45283] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver AS for Java (usługa docelowa) Komponenty: BC-JAS-SEC-DST Kategoria: Błąd programu	Średnia	6.0
3507545	[CVE-2024-45278] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP Commerce Backoffice Komponenty: CEC-SCC-CDM-BO-APP Kategoria: Błąd programu	Średnia	5.4
3503462	[CVE-2024-47594] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP NetWeaver Enterprise Portal (KMC) Komponenty: EP-KM-ADM-CFG Kategoria: Błąd programu	Średnia	5.4
3520100	[CVE-2024-45277] Luka w zabezpieczeniach Prototype Pollution w SAP HANA Client Komponenty: HAN-DB-CLI Kategoria: Błąd programu	Średnia	4.3
3251893	[CVE-2024-45282] Manipulacja czasownikiem HTTP w SAP S/4 HANA (zarządzanie wyciągami bankowymi) Komponenty: FI-FIO-AR Kategoria: Błąd programu	Średnia	4.3
3481588	[CVE-2024-41729] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver BW (BEx Analyzer) Komponenty: BW-BEX-ET-WB-7X Kategoria: Błąd programu	Średnia	4.3
3479293	[CVE-2024-42373] Brak kontroli autoryzacji w SAP Student Life Cycle Management (SLcM) Komponenty: IS-HER-CM-AD Kategoria: Błąd programu	Średnia	4.3
3454858	[CVE-2024-37180] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Application Server dla ABAP i ABAP Platform Komponenty: BC-SRV-DX-DXW Kategoria: Błąd programu	Średnia	4.1