[點(diǎn)晴永久免費(fèi)OA]2024年5月-SAP系統(tǒng)高危漏洞預(yù)警
漏洞1:Central Finance 基礎(chǔ)架構(gòu)組件中的可切換權(quán)限 發(fā)布時(shí)間:27.05.2024 影響模塊:FICO 癥狀描述:該場(chǎng)景為以下范圍中的各種 Central Finance 事務(wù)、報(bào)表和 API 捆綁了新的權(quán)限檢查: ·映射工具 ·鍵值映射審計(jì)日志 ·第三方接口 ·項(xiàng)目系統(tǒng)復(fù)制 ·比較報(bào) ·刪除報(bào)表。 風(fēng)險(xiǎn)等級(jí):高 解決方案:通過實(shí)施 SAP Note 2638217后在SACF 中維護(hù)以下新權(quán)限場(chǎng)景 評(píng)估者:FICO顧問,Basis顧問,ABAP顧問 修復(fù)人: Basis顧問+ABAP顧問(手動(dòng)激活) 受影響的組件版本:
參考note:2638217 點(diǎn)評(píng):建議受影響的用戶還是做一做,萬一放下的心又懸著了呢?
漏洞2:SAP Process Integration 的企業(yè)服務(wù)資源庫中的信息披露 發(fā)布時(shí)間:14.05.2024 影響模塊:PI/PO 癥狀描述: 在某些情況下,SAP Process Integration 的企業(yè)服務(wù)資源庫允許攻擊者訪問原本會(huì)受到限制的信息。 風(fēng)險(xiǎn)等級(jí):中 解決方案:note2745860 評(píng)估者:PO顧問,basis顧問 修復(fù)人:Basis顧問(note里有一堆補(bǔ)丁需要打) 受影響的組件版本:
參考note:2745860 點(diǎn)評(píng):工作量很大,如果決定執(zhí)行,會(huì)有停機(jī)。如果內(nèi)網(wǎng)足夠安全,建議暫緩執(zhí)行,畢竟請(qǐng)人做是要花錢的,但是請(qǐng)我們做就很實(shí)惠
漏洞3:PI 集成目錄相關(guān)的潛在信息被披露 發(fā)布時(shí)間:14.05.2024 影響模塊:PI/PO 癥狀描述: 攻擊者可以發(fā)現(xiàn)與 PI 集成目錄相關(guān)的信息(可使用 PI 集成目錄找到用戶名和密碼)。此信息可用于允許攻擊者專門攻擊SAP Process Integration。 風(fēng)險(xiǎn)等級(jí):中 解決方案:將 NW 應(yīng)用服務(wù)器 Java 系統(tǒng)更新為修復(fù)的版本或修復(fù)的組件包版本 評(píng)估者:PO顧問,Basis顧問 修復(fù)人:Basis(升級(jí)組件版本或系統(tǒng)版本) 受影響的組件版本:
點(diǎn)評(píng):工作量很大,如果決定執(zhí)行,會(huì)有停機(jī)。如果內(nèi)網(wǎng)足夠安全,建議暫緩執(zhí)行。
漏洞4:面向 ABAP 和 ABAP 平臺(tái)的 SAP NetWeaver Application Server 中的跨站點(diǎn)腳本 (XSS) 漏洞 發(fā)布時(shí)間:14.05.2024 影響模塊:全模塊 癥狀描述: 攻擊者可以控制在用戶瀏覽器內(nèi)執(zhí)行的代碼,這可能會(huì)導(dǎo)致修改、刪除數(shù)據(jù)(包括訪問或刪除文件),或者竊取攻擊者可用于劫持用戶會(huì)話的會(huì)話 Cookie。因此,這可能會(huì)對(duì)系統(tǒng)的保密性、完整性和可用性產(chǎn)生影響。 風(fēng)險(xiǎn)等級(jí):高 解決方案:升級(jí)組件或修復(fù)代碼 評(píng)估者:信息負(fù)責(zé)人(可能會(huì)造成停機(jī),需要評(píng)估業(yè)務(wù)接受度) 修復(fù)人:Basis顧問升級(jí)組件或ABAP顧問實(shí)施修復(fù)代碼 受影響的組件版本:
參考note:3448445 點(diǎn)評(píng): 這個(gè)漏洞厲害了!SAP官方直說沒有解決方法,只能修復(fù)代碼或升級(jí)組件。
漏洞5:SAP Global Label Management (GLM) 中的 SQL 注入漏洞 發(fā)布時(shí)間:14.05.2024 影響模塊:EA/ES 癥狀描述: 攻擊者利用經(jīng)特殊設(shè)計(jì)的輸入來修改數(shù)據(jù)庫命令,從而檢索系統(tǒng)持久保存的其他信息。這可能會(huì)導(dǎo)致對(duì)應(yīng)用程序的保密性和完整性影響較低。 風(fēng)險(xiǎn)等級(jí):高 解決方案:實(shí)施note1938764里的修正代碼,或者升級(jí)EA組件版本 評(píng)估者:Basis顧問 修復(fù)人:Basis顧問或ABAP顧問 受影響的組件版本:
參考note:1938764 點(diǎn)評(píng): 該漏洞僅對(duì)經(jīng)典的ERP產(chǎn)品有影響,S/4系列不需要擔(dān)心。
漏洞6:SAP NetWeaver Application Server ABAP 和 ABAP 平臺(tái)中的文件上載漏洞 發(fā)布時(shí)間:14.05.2024 影響模塊:全模塊 癥狀描述:攻擊者可以將惡意文件上載到服務(wù)器,當(dāng)受害者訪問該文件時(shí),該惡意文件可能允許攻擊者完全損害系統(tǒng)。 風(fēng)險(xiǎn)等級(jí):極高 解決方案:note3448171中提供了兩種方法 評(píng)估者:Basis顧問 修復(fù)人:Basis顧問 受影響的組件版本:
參考note:3448171 點(diǎn)評(píng): 恭喜SAP經(jīng)典產(chǎn)品的業(yè)主們,該漏洞只針對(duì)經(jīng)典的全系產(chǎn)品
漏洞7:SAP 銀行賬戶管理中缺少權(quán)限檢查 發(fā)布時(shí)間:14.05.2024 影響模塊:FICO 癥狀描述:SAP 銀行賬戶管理不會(huì)對(duì)授權(quán)用戶執(zhí)行必要的權(quán)限檢查,因此降低了系統(tǒng)的保密性。 風(fēng)險(xiǎn)等級(jí):高 解決方案:實(shí)施note3392049 評(píng)估者:FICO顧問 修復(fù)人:Basis顧問 受影響的組件版本:
參考note:3392049 點(diǎn)評(píng): 恭喜S/4的業(yè)主們中標(biāo),該漏洞只針對(duì)/S4的全系產(chǎn)品
漏洞8:管理銀行對(duì)賬單重新處理規(guī)則中缺少權(quán)限檢查 發(fā)布時(shí)間:14.05.2024 影響模塊:FICO 癥狀描述:管理銀行對(duì)賬單重新處理規(guī)則不會(huì)對(duì)已驗(yàn)證的用戶執(zhí)行必要的權(quán)限檢查,從而導(dǎo)致權(quán)限升級(jí)。通過利用此漏洞,攻擊者可以刪除影響應(yīng)用程序完整性的其他用戶的規(guī)則和啟用/禁用影響應(yīng)用程序完整性的其他用戶的共享規(guī)則。 風(fēng)險(xiǎn)等級(jí):高 解決方案:實(shí)施note3434666里提供的修正代碼或升級(jí)組件版本 評(píng)估者:FICO顧問 修復(fù)人:Basis顧問或ABAP顧問 受影響的組件版本:
參考note:3434666 點(diǎn)評(píng): 從S/4HANA 2020(含)開始往后的產(chǎn)品都應(yīng)該修正
漏洞9:跨站點(diǎn)腳本 (XSS) 漏洞(DPS 的文檔服務(wù)處理器) 發(fā)布時(shí)間:14.05.2024 影響模塊:文檔管理 癥狀描述:數(shù)據(jù)預(yù)配服務(wù)中的文檔服務(wù)處理程序(已過時(shí))不會(huì)對(duì)用戶控制的輸入進(jìn)行充分的編碼,導(dǎo)致跨站點(diǎn)腳本(XSS)漏洞對(duì)應(yīng)用程序的保密性和完整性影響較低。 風(fēng)險(xiǎn)等級(jí):中 解決方案:實(shí)施note3449741里的修正代碼或?qū)嵤┰搉ote或升級(jí)組件版本 評(píng)估者:Basis顧問 修復(fù)人:Basis顧問或ABAP顧問 受影響的組件版本:
參考note:3460772、3449741 點(diǎn)評(píng): 影響面很小,沒有用到文檔服務(wù)的用戶可以忽略,用到了的用戶也可以選擇性實(shí)施
漏洞10:SAP UI5 (PDFViewer) 中的客戶端腳本執(zhí)行漏洞 發(fā)布時(shí)間:14.05.2024 影響模塊:SAPUI 癥狀描述:如果 PDF 文檔包含嵌入式 JavaScript(或任何有害的客戶端腳本),PDF 查看器將執(zhí)行嵌入到 PDF 中的 JavaScript,這可能會(huì)導(dǎo)致潛在的安全威脅。 風(fēng)險(xiǎn)等級(jí):高 解決方案:根據(jù)note3446076里的步驟執(zhí)行 評(píng)估者:ABAP顧問 修復(fù)人: ABAP顧問 受影響的組件版本:
參考note:3446076 點(diǎn)評(píng): 影響面還是有點(diǎn)大的,從S/4HANA1909到2023無一幸免
漏洞11:跨站點(diǎn)腳本 (XSS) 漏洞 發(fā)布時(shí)間:28.05.2024 影響模塊:全模塊 癥狀描述:由于缺少不受信任數(shù)據(jù)的輸入驗(yàn)證和輸出編碼,SAP系統(tǒng)允許未經(jīng)身份驗(yàn)證的攻擊者將惡意 JavaScript 代碼注入動(dòng)態(tài)制作的 Web 頁面。攻擊者可以訪問或修改敏感信息,而不會(huì)影響應(yīng)用程序的可用性。 風(fēng)險(xiǎn)等級(jí):極高 解決方案:note3450286提供了修復(fù)代碼或升級(jí)組件版本 評(píng)估者:ABAP顧問 修復(fù)人: ABAP顧問或Basis顧問 受影響的組件版本:
參考note:3450286 點(diǎn)評(píng): 該漏洞涉及到的SAP產(chǎn)品眾多,不僅僅是ERP,其他ABAP平臺(tái)類的產(chǎn)品幾乎都有涉及,強(qiáng)烈建議所有用戶更新 該文章在 2024/6/8 23:30:48 編輯過 |
相關(guān)文章
正在查詢... 
|
400 186 1886
