?SAP 本周宣布發布 12 個新的和更新的安全說明,作為 2023 年 1 月安全補丁日的一部分,其中包括 7 個解決嚴重漏洞的“熱點新聞”說明。
被評為“熱點新聞”的安全說明中有四個是SAP 書中嚴重程度最高的安全說明,它們是解決 Business Planning and Consolidation MS、BusinessObjects 和.NETWeaver 中漏洞的新說明,而其余三個是對 2022 年 11 月和 2022 年 12 月發布的說明的更新.
最嚴重的新說明解決了 Business Planning and Consolidation MS 中的 SQL 注入錯誤(CVE-2023-0016,CVSS 得分為 9.9),以及 BusinessObjects 商業智能平臺中的代碼注入缺陷(CVE-2023-0022,CVSS 9.9 分)。
根據企業安全公司 Onapsis 的說法,這些問題中的第一個可以被利用來在易受攻擊的應用程序中執行精心設計的數據庫查詢,從而允許攻擊者讀取、修改或刪除任意數據。
可以通過網絡利用代碼注入漏洞,從而影響應用程序的機密性、完整性和可用性。
“該說明包含針對無法立即提供此補丁的客戶的補丁和解決方法。但是,此解決方法只能用作臨時解決方案,因為它會刪除、停止或禁用受影響的服務,” Onapsis 解釋道。
其余新的“熱點新聞”說明解決了 NetWeaver AS for JAVA 中的不當訪問控制錯誤(CVE-2023-0017,CVSS 評分為 9.4)以及 NetWeaver AS for ABAP 和 ABAP 平臺中的捕獲重放漏洞(CVE-2023 -0014,CVSS 得分為 9.0)。
通過利用第一個問題,未經身份驗證的攻擊者可以訪問和修改用戶數據并使系統服務不可用。
捕獲重放錯誤影響受信任的 RFC 和 HTTP 通信的架構,允許攻擊者獲得對 SAP 系統的未授權訪問。
Onapsis 表示,緩解該漏洞可能具有挑戰性,因為它涉及應用“內核補丁、ABAP 補丁以及所有受信任的 RFC 和 HTTP 目標的手動遷移”。
SAP 還更新了三個“熱點新聞”說明,解決了 BusinessObjects 中不受信任的數據缺陷的不安全反序列化 (CVE-2022-41203) 和 NetWeaver 中的兩個不當訪問控制問題(CVE-2022-4127 和 CVE-2022-41271)。
在 SAP 的 1 月安全補丁日發布的其余五份說明解決了 Host Agent (windows)、NetWeaver、BusinessObjects 和銀行賬戶管理(管理銀行)中的中等嚴重漏洞。
原文:https://www.securityweek.com/saps-first-security-updates-2023-resolve-critical-vulnerabilities
