SAP, SAP Business Objects Business Intelligence Platform (CMC) ve SAP NetWeaver’ı etkileyen beşi kritik olarak sınıflandırılan 19 güvenlik açığı için güvenlik düzeltmeleri sağladı. İlgili tehlikeleri azaltmak için yöneticiler yamayı hemen uygulamalıdır.
Şirket, SAP Business Objects Business Intelligence Platform (CMC) ve SAP NetWeaver Application Server’daki (CVE-2023-25616, CVE-2023-23857, CVE-2023-27269, CVE-2023-27500, ve CVE-2023-25617).
Ayrıca SAP’nin aylık güvenlik düzeltme eki, dört yüksek önem düzeyine sahip sorunu ve on orta düzeyde güvenlik açığını ele aldı.
Düzeltilen Beş Sorunun Özellikleri
- CVE-2023-25616:
SAP Business Intelligence Platform’da kritik önem derecesine (CVSS v3: 9.9) sahip ve bir saldırganın yalnızca ayrıcalıklı kullanıcılar tarafından erişilebilen kaynaklara erişmesine olanak tanıyan bir kod enjeksiyon güvenlik açığı. 420 ve 430 sürümleri hatadan etkilenir.
- CVE-2023-23857:
SAP NetWeaver AS for Java, sürüm 7.50’yi etkileyen kritik önem derecesi (CVSS v3: 9.8) bilgi ifşası, veri işleme ve DoS hatası. Açık bir arayüze bağlanarak ve dizin API’si aracılığıyla hizmetlere erişim sağlayarak, kusur, kimliği doğrulanmamış bir saldırganın yetkisiz eylemler gerçekleştirmesini sağlar.
- CVE-2023-27269:
ABAP için SAP NetWeaver Uygulama Sunucusunu etkileyen kritik önem derecesine (CVSS v3: 9.6) sahip dizin geçişi sorunu. Yönetici olmayan bir kullanıcı, bir hata nedeniyle sistem dosyalarının üzerine yazabilir. 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 ve 791 sürümleri etkilenir.
- CVE-2023-27500:
ABAP için SAP NetWeaver AS’de kritik düzeyde (CVSS v3: 9.6) dizin geçişi. Sistem dosyalarının üzerine yazmak için SAPRSBRO hatasını kullanan bir saldırgan, etkilenen uç noktaya zarar verebilir. Sürüm 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 ve 757 etkilenir.
- CVE-2023-25617:
SAP Business Objects Business Intelligence Platform, sürüm 420 ve 430’da Kritik önem derecesine sahip (CVSS v3: 9.0) komut yürütme güvenlik açığı. Belirli durumlarda güvenlik açığı, uzaktaki bir saldırganın BI Launchpad, Merkezi Yönetim Konsolu veya genel Java SDK kullanılarak oluşturulmuş özelleştirilmiş bir uygulama kullanarak işletim sisteminde rasgele komutlar yürütmesine olanak tanır.
Öneri:
Şirket, “SAP, müşterinin Destek Portalını ziyaret etmesini ve SAP ortamını korumak için öncelikle yamaları uygulamasını şiddetle tavsiye ediyor” diyor.
SAP’nin ürünleri dünya çapında büyük şirketler tarafından kullanıldığından ve değerli sistemlere erişim noktaları olarak hizmet edebildiğinden, tehdit aktörleri için iyi bir hedeftir.
Etkilenen SAP ürünlerinin kullanıcılarının ve yöneticilerinin derhal en son sürümlere güncellemeleri istenir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin