漏洞1:SAP BusinessObjects Business Intelligence 平臺中存在多個無限制的文件上載漏洞
發布時間:13.08.2024
影響模塊:BO/BI
癥狀描述:平臺允許經過身份驗證的攻擊者通過網絡上載可由應用程序執行的惡意代碼。
風險評估:極高
解決方案:note3433545
評估者:BO顧問
修復人: BO顧問
受影響的組件版本:
點評:有BO系統的用戶還是盡早修復為好�����。
漏洞2:SAP BEx Web Java 運行時導出 Web 服務中的 XML 注入
發布時間:13.08.2024
影響模塊:JAVA
癥狀描述: BEx Web Java 運行時導出 Web 服務無法充分驗證從不受信任的源接受的 XML 文檔����。攻擊者可以從 SAP ADS 系統檢索信息,并耗盡 XMLForm 服務的數量,以使 SAP ADS 渲染(PDF 創建)不可用����。
風險評估:高
解決方案:在note3485284里列舉了需要升級的組件版本
評估者: basis顧問
修復人:Basis顧問
受影響的組件版本:
點評:如果是基于NetWeaver7.5平臺的客戶又啟用了ADS功能可以考慮升級一下組件版本
漏洞3:SAP CRM中的服務器端請求偽造
發布時間:13.08.2024
影響模塊:CRM
癥狀描述: 允許經過身份驗證的攻擊者通過特別擬定 HTTP 請求來枚舉內部網絡中的 HTTP 端點��。成功利用后�,可能會導致信息披露。
風險評估:高
解決方案:在note3487537里提供了三種解決方案�,打note的臨時方案�,增強代碼或者升級組件版本的永久性方案
評估者:ABAP顧問��,Basis顧問
修復人:Basis顧問��,ABAP顧問
受影響的組件版本:
點評:老版本的CRM系統幾乎都中招了
漏洞4:SAP Netweaver Application Server ABAP 中的不正確訪問控制
發布時間:08.13.2024
影響模塊:全模塊
癥狀描述: 允許未經身份驗證的攻擊者構建可以繞過允許列表控件的 URL 鏈接。根據由此服務器提供的 Web 應用程序���,攻擊者可能會向 Web 應用程序中注入 CSS 代碼或鏈接,從而允許攻擊者讀取或修改信息�����。
風險評估:極高
解決方案:note3468102提供了解決方案
評估者:Basis顧問���,ABAP顧問
修復人:Basis顧問�,ABAP顧問
受影響的組件版本:
點評: 修復不復雜,SAP在note里提供了完整的修復代碼����,建議受到影響的用戶及時修復
漏洞5:SAP Document Builder 中缺少權限檢查
發布時間:13.08.2024
影響模塊:全模塊
癥狀描述: SAP Document Builder 不對其中一個功能模塊執行必要的權限檢查����,導致權限升級會對應用程序的保密性造成較低的影響�����。
風險評估:低
解決方案:實施note3477423
評估者:Basis顧問
修復人:Basis顧問或ABAP顧問
受影響的組件版本:
點評: 上了S/4的企業幾乎全中招了����,好在風險級別不高�,有條件的用戶可以打上
漏洞6:SAP系統缺少權限檢查
發布時間:13.08.2024
影響模塊:全模塊
癥狀描述:經過身份驗證的攻擊者可能會調用基礎事務,從而導致用戶相關信息的公開�����。
風險評估:極高
解決方案:note3494349
評估者: Basis顧問
修復人: Basis顧問先打上note補丁��,ABAP顧問程序修復
受影響的組件版本:
點評: 這個漏洞的風險就非常高了,涉及到的SAP版本也很多,從最老的700版本到最新的S/4 2023都有涉及���,建議盡快修復
漏洞7:SAP共享服務框架中缺少多個權限檢查漏洞
發布時間:13.08.2024
影響模塊:CRM
癥狀描述:SAP Shared Service Framework 不會對經過驗證的用戶執行必要的權限檢查,從而導致權限升級。在成功被利用時,攻擊者可能會對應用程序的保密性造成很大影響��。
風險評估:中
解決方案:實施note3474590
評估者:CRM顧問
修復人:Basis顧問
受影響的組件版本:
點評: 小范圍受災�����,有條件的用戶可以考慮修復
漏洞8:SAP NetWeaver 應用服務器(ABAP 和 Java)���、SAP Web Dispatcher 和 SAP content server中缺少權限檢查
發布時間:27.08.2024
影響模塊:全模塊
癥狀描述:由于本地系統中缺少權限檢查�,SAP Web webdispatcher���、SAP NetWeaver Application Server(ABAP 和 Java)和 SAP content server的管理員用戶可以模仿其他用戶,并可能執行一些意外操作。這可能會導致對保密性的影響較低�,并對應用程序的完整性和可用性產生很大影響�����。
風險評估:極高
解決方案:note3438085提供了具體的解決方案,有些復雜�,需要根據當前的系統環境和版本仔細評估
評估者:Basis顧問
修復人:Basis顧問
受影響的組件版本:
點評: 受害范圍極大�����!風險極高!盡快修復�!盡快修復??���!盡快修復?����。����?����!
漏洞9:SAP S/4 HANA 中的信息披露(法定報表)
發布時間:27.08.2024
影響模塊:FICO
癥狀描述:SAP S/4 HANA 中的法定報表允許具有基本權限的攻擊者訪問原本會受到限制的信息���。此漏洞可能會暴露應保持機密的內部用戶數據�。
風險評估:高
解決方案:note3437585提供了修復補丁和建議的手動解決方案
評估者:FICO顧問
修復人:Basis顧問
受影響的組件版本:
點評: 好在受害范圍不是很廣�����,不在上述組件版本內的用戶可以放心了
【轉】https://mp.weixin.qq.com/s/qbuI9FjbVz7bepE3cQ0T1w
該文章在 2024/9/5 12:43:05 編輯過
400 186 1886
