[點晴永久免費OA]2024年5月-SAP系統(tǒng)高危漏洞預警
漏洞1:Central Finance 基礎架構組件中的可切換權限 發(fā)布時間:27.05.2024 影響模塊:FICO 癥狀描述:該場景為以下范圍中的各種 Central Finance 事務、報表和 API 捆綁了新的權限檢查: ·映射工具 ·鍵值映射審計日志 ·第三方接口 ·項目系統(tǒng)復制 ·比較報 ·刪除報表。 風險等級:高 解決方案:通過實施 SAP Note 2638217后在SACF 中維護以下新權限場景 評估者:FICO顧問,Basis顧問,ABAP顧問 修復人: Basis顧問+ABAP顧問(手動激活) 受影響的組件版本:
參考note:2638217 點評:建議受影響的用戶還是做一做,萬一放下的心又懸著了呢?
漏洞2:SAP Process Integration 的企業(yè)服務資源庫中的信息披露 發(fā)布時間:14.05.2024 影響模塊:PI/PO 癥狀描述: 在某些情況下,SAP Process Integration 的企業(yè)服務資源庫允許攻擊者訪問原本會受到限制的信息。 風險等級:中 解決方案:note2745860 評估者:PO顧問,basis顧問 修復人:Basis顧問(note里有一堆補丁需要打) 受影響的組件版本:
參考note:2745860 點評:工作量很大,如果決定執(zhí)行,會有停機。如果內網(wǎng)足夠安全,建議暫緩執(zhí)行,畢竟請人做是要花錢的,但是請我們做就很實惠
漏洞3:PI 集成目錄相關的潛在信息被披露 發(fā)布時間:14.05.2024 影響模塊:PI/PO 癥狀描述: 攻擊者可以發(fā)現(xiàn)與 PI 集成目錄相關的信息(可使用 PI 集成目錄找到用戶名和密碼)。此信息可用于允許攻擊者專門攻擊SAP Process Integration。 風險等級:中 解決方案:將 NW 應用服務器 Java 系統(tǒng)更新為修復的版本或修復的組件包版本 評估者:PO顧問,Basis顧問 修復人:Basis(升級組件版本或系統(tǒng)版本) 受影響的組件版本:
點評:工作量很大,如果決定執(zhí)行,會有停機。如果內網(wǎng)足夠安全,建議暫緩執(zhí)行。
漏洞4:面向 ABAP 和 ABAP 平臺的 SAP NetWeaver Application Server 中的跨站點腳本 (XSS) 漏洞 發(fā)布時間:14.05.2024 影響模塊:全模塊 癥狀描述: 攻擊者可以控制在用戶瀏覽器內執(zhí)行的代碼,這可能會導致修改、刪除數(shù)據(jù)(包括訪問或刪除文件),或者竊取攻擊者可用于劫持用戶會話的會話 Cookie。因此,這可能會對系統(tǒng)的保密性、完整性和可用性產(chǎn)生影響。 風險等級:高 解決方案:升級組件或修復代碼 評估者:信息負責人(可能會造成停機,需要評估業(yè)務接受度) 修復人:Basis顧問升級組件或ABAP顧問實施修復代碼 受影響的組件版本:
參考note:3448445 點評: 這個漏洞厲害了!SAP官方直說沒有解決方法,只能修復代碼或升級組件。
漏洞5:SAP Global Label Management (GLM) 中的 SQL 注入漏洞 發(fā)布時間:14.05.2024 影響模塊:EA/ES 癥狀描述: 攻擊者利用經(jīng)特殊設計的輸入來修改數(shù)據(jù)庫命令,從而檢索系統(tǒng)持久保存的其他信息。這可能會導致對應用程序的保密性和完整性影響較低。 風險等級:高 解決方案:實施note1938764里的修正代碼,或者升級EA組件版本 評估者:Basis顧問 修復人:Basis顧問或ABAP顧問 受影響的組件版本:
參考note:1938764 點評: 該漏洞僅對經(jīng)典的ERP產(chǎn)品有影響,S/4系列不需要擔心。
漏洞6:SAP NetWeaver Application Server ABAP 和 ABAP 平臺中的文件上載漏洞 發(fā)布時間:14.05.2024 影響模塊:全模塊 癥狀描述:攻擊者可以將惡意文件上載到服務器,當受害者訪問該文件時,該惡意文件可能允許攻擊者完全損害系統(tǒng)。 風險等級:極高 解決方案:note3448171中提供了兩種方法 評估者:Basis顧問 修復人:Basis顧問 受影響的組件版本:
參考note:3448171 點評: 恭喜SAP經(jīng)典產(chǎn)品的業(yè)主們,該漏洞只針對經(jīng)典的全系產(chǎn)品
漏洞7:SAP 銀行賬戶管理中缺少權限檢查 發(fā)布時間:14.05.2024 影響模塊:FICO 癥狀描述:SAP 銀行賬戶管理不會對授權用戶執(zhí)行必要的權限檢查,因此降低了系統(tǒng)的保密性。 風險等級:高 解決方案:實施note3392049 評估者:FICO顧問 修復人:Basis顧問 受影響的組件版本:
參考note:3392049 點評: 恭喜S/4的業(yè)主們中標,該漏洞只針對/S4的全系產(chǎn)品
漏洞8:管理銀行對賬單重新處理規(guī)則中缺少權限檢查 發(fā)布時間:14.05.2024 影響模塊:FICO 癥狀描述:管理銀行對賬單重新處理規(guī)則不會對已驗證的用戶執(zhí)行必要的權限檢查,從而導致權限升級。通過利用此漏洞,攻擊者可以刪除影響應用程序完整性的其他用戶的規(guī)則和啟用/禁用影響應用程序完整性的其他用戶的共享規(guī)則。 風險等級:高 解決方案:實施note3434666里提供的修正代碼或升級組件版本 評估者:FICO顧問 修復人:Basis顧問或ABAP顧問 受影響的組件版本:
參考note:3434666 點評: 從S/4HANA 2020(含)開始往后的產(chǎn)品都應該修正
漏洞9:跨站點腳本 (XSS) 漏洞(DPS 的文檔服務處理器) 發(fā)布時間:14.05.2024 影響模塊:文檔管理 癥狀描述:數(shù)據(jù)預配服務中的文檔服務處理程序(已過時)不會對用戶控制的輸入進行充分的編碼,導致跨站點腳本(XSS)漏洞對應用程序的保密性和完整性影響較低。 風險等級:中 解決方案:實施note3449741里的修正代碼或實施該note或升級組件版本 評估者:Basis顧問 修復人:Basis顧問或ABAP顧問 受影響的組件版本:
參考note:3460772、3449741 點評: 影響面很小,沒有用到文檔服務的用戶可以忽略,用到了的用戶也可以選擇性實施
漏洞10:SAP UI5 (PDFViewer) 中的客戶端腳本執(zhí)行漏洞 發(fā)布時間:14.05.2024 影響模塊:SAPUI 癥狀描述:如果 PDF 文檔包含嵌入式 JavaScript(或任何有害的客戶端腳本),PDF 查看器將執(zhí)行嵌入到 PDF 中的 JavaScript,這可能會導致潛在的安全威脅。 風險等級:高 解決方案:根據(jù)note3446076里的步驟執(zhí)行 評估者:ABAP顧問 修復人: ABAP顧問 受影響的組件版本:
參考note:3446076 點評: 影響面還是有點大的,從S/4HANA1909到2023無一幸免
漏洞11:跨站點腳本 (XSS) 漏洞 發(fā)布時間:28.05.2024 影響模塊:全模塊 癥狀描述:由于缺少不受信任數(shù)據(jù)的輸入驗證和輸出編碼,SAP系統(tǒng)允許未經(jīng)身份驗證的攻擊者將惡意 JavaScript 代碼注入動態(tài)制作的 Web 頁面。攻擊者可以訪問或修改敏感信息,而不會影響應用程序的可用性。 風險等級:極高 解決方案:note3450286提供了修復代碼或升級組件版本 評估者:ABAP顧問 修復人: ABAP顧問或Basis顧問 受影響的組件版本:
參考note:3450286 點評: 該漏洞涉及到的SAP產(chǎn)品眾多,不僅僅是ERP,其他ABAP平臺類的產(chǎn)品幾乎都有涉及,強烈建議所有用戶更新 該文章在 2024/6/8 23:30:48 編輯過 |
相關文章
正在查詢... 
|
400 186 1886
