SAP, bu ayın yama günü için çeşitli güvenlik açıklarının giderildiği ve CVE’lerin güncellendiği güncellemelerini yayınladı. Yamalı hataların ciddiyeti 4,5 (orta) ila 10,0 (kritik) arasında değişir.
En kritik önem derecesindeki güvenlik açığının, en yüksek önceliğe sahip olan SAP Business istemcisi ile sağlanan Chromium tarayıcı kontrolüyle ilgili olduğu açıklandı.
.png
)
Kritik Önem Derecesindeki Güvenlik Açıkları
Chromium tarayıcı kontrol güvenlik açıkları hariç, diğer kritik önemdeki güvenlik açıkları şunları içerir:
SAP ECC ve SAP S/4HANA (IS-OIL) (IS-OIL-DS-HPM):
Bu, ortak bir uzantıdaki korumasız bir parametrede bulunan bir işletim sistemi komut ekleme güvenlik açığıdır. Bu güvenlik açığı için CVE, CVE-2023-36922 olarak verilmiştir ve CVSS puanı 9,1’dir (Kritik).
Yüksek Derecede Güvenlik Açıkları
SAP NetWeaver (BI CONT ADD ON) (BW-BCT-GEN):
Bu, bir tehdit aktörünün sistemi tehlikeye atmak için üzerine yazılabilecek olası işletim sistemi dosyalarını okumasına izin verebilen bir Dizin Geçişi Güvenlik Açığıdır. Bu güvenlik açığı CVE’ye CVE-2023-33989 olarak verildi ve CVSS puanı 8,7 (Yüksek).
SAP Web Dağıtıcısı (BC-CST-WDP):
Bu, bir tehdit aktörünün sunucuyu okumasına, değiştirmesine veya sunucuyu geçici olarak kullanım dışı bırakmasına olanak tanıyan bir İstek Kaçakçılığı ve istek birleştirme güvenlik açığıdır. Bu güvenlik açığı için CVE, CVE-2023-33987 olarak verilmiştir ve CVSS puanı 8,6’dır (Yüksek)
SAP SQL Anywhere (BC-SYB-SQA-SRV):
Bu, Paylaşılan bellek nesnelerinde bulunan bir Hizmet Reddi (DoS) güvenlik açığıdır ve yerel sisteme yerel sistem erişimi olan düşük ayrıcalıklı bir saldırganın hizmeti çökerterek meşru kullanıcılar için sistemi kullanılamaz hale getirmesine olanak tanır.
Bu güvenlik açığı için CVE, CVE-2023-33990 olarak verilmiştir ve CVSS puanı 7,8’dir (Yüksek).
SAP Web Dağıtıcısı (BC-CST-WDP):
Bu, bir tehdit aktörünün bellek yönetimindeki mantıksal hatalar aracılığıyla bellek bozulması yapmasına olanak tanıyan ve aynı zamanda bilgilerin açığa çıkmasına veya sistemin çökmesine neden olabilen bir Bellek Bozulması güvenlik açığıdır. Bu güvenlik açığı için CVE, CVE-2023-35871 olarak verilmiştir ve CVSS Puanı 7,7’dir (Yüksek).
SAP Solution Manager (Tanı aracı) (SV-SMG-DIA-SRV-AGT):
Bu, kimliği doğrulanmamış bir SSRF ve bir başlık enjeksiyon güvenlik açığıdır. SSRF güvenlik açığı, kimliği doğrulanmamış bir tehdit aktörünün, kullanılabilirlik ve gizlilik üzerinde etkiye yol açan kötü amaçlı HTTP istekleri yapmasına olanak tanır.
Öte yandan, başlık enjeksiyon güvenlik açığı, bir saldırganın bir istemci isteğinde başlıkları kurcalayarak zehirli içeriği sunucuya sunmasına olanak tanır.
Bu iki güvenlik açığı için CVE’ler CVE-2023-36925 ve CVE-2023-36921 olarak verilmiştir. CVSS puanları her ikisi için de 7.2’dir.
Orta Derecede Güvenlik Açıkları
| Güvenlik Açığı Adı | özgeçmiş kimliği | Tanım |
| SAP NetWeaver Süreç Entegrasyonu (BC-XI-IS-WKB) | CVE-2023-35872, CVE-2023-35873 | SAP NetWeaver Process Integration’ın Mesaj Görüntüleme Aracındaki belirli işlevlerde kimlik doğrulama mekanizmaları yoktur |
| SAP NetWeaver AS ABAP ve ABAP Platformu (BC-MID-RFC) | CVE-2023-35874 | Kötü niyetli aktörlerin ağı hedeflemesine ve etki kapsamını genişletmesine izin veren kullanıcı kimliği gerektiren bazı koşullar için uygun olmayan kimlik doğrulaması yapılmıştır. |
| SAP Şimdi Etkinleştir (KM-SEN-MGR) | – | Bu üründe birden çok güvenlik açığı giderildi |
| SAP S/4HANA (Yevmiye Girişi Şablonunu Yönetin) (FI-FIO-GL-TRA) | CVE-2023-35870 | Günlük girişi şablonu oluşturma işlemi durdurulabilir ve değiştirilebilir, bu da gizlilik ve bütünlük üzerinde etkiye neden olur. Buna ek olarak, standart şablonun silinmesine de yol açabilir. |
| SAP BusinessObjects İş Zekası Platformu (BI-BIP-SRV) | CVE-2023-36917 | Ele geçirilen bir oturumda eski parolanın kaba kuvvetine yol açan parola değiştirme işlevinde sınırsız oran sınırı. |
| Java için SAP NetWeaver AS (Günlük Görüntüleyici) (BC-JAS-SEC) | CVE-2023-31405 | Bir tehdit aktörü tarafından kimliği doğrulanmamış bir istek, kullanıcı etkileşimi olmadan bir sistem günlüğünde istenmeyen değişikliklere yol açabilir. |
| SAP ERP Savunma Kuvvetleri ve Kamu Güvenliği (IS-DFS-BIT-DIS) | CVE-2023-36924 | Kimliği doğrulanmış saldırgan, sistem günlüğü dosyasına yönetici ayrıcalıkları etkinken rastgele veriler yazabilir ve bu da uygulama bütünlüğünün tehlikeye girmesine neden olabilir. |
| SAP Business Warehouse ve SAP BW/4HANA (BW-BEX-OT-BICS-PROV) | CVE-2023-33992 | Sorgu ve anahtar şekil/ölçü düzeyinde yetkilendirme gerektiren yetkisiz hücre değerlerinin ifşa edilmesi. |
Bu ürünlerin kullanıcılarına, tehdit aktörlerini önlemek için SAP güvenlik danışmanlığını izlemeleri ve buna göre yamalar yapmaları önerilir.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.