漏洞1:SAP BusinessObjects Business Intelligence 平臺中存在多個無限制的文件上載漏洞
發(fā)布時間:13.08.2024
影響模塊:BO/BI
癥狀描述:平臺允許經(jīng)過身份驗證的攻擊者通過網(wǎng)絡(luò)上載可由應用程序執(zhí)行的惡意代碼����。
風險評估:極高
解決方案:note3433545
評估者:BO顧問
修復人: BO顧問
受影響的組件版本:
點評:有BO系統(tǒng)的用戶還是盡早修復為好����。
漏洞2:SAP BEx Web Java 運行時導出 Web 服務(wù)中的 XML 注入
發(fā)布時間:13.08.2024
影響模塊:JAVA
癥狀描述: BEx Web Java 運行時導出 Web 服務(wù)無法充分驗證從不受信任的源接受的 XML 文檔��。攻擊者可以從 SAP ADS 系統(tǒng)檢索信息�,并耗盡 XMLForm 服務(wù)的數(shù)量��,以使 SAP ADS 渲染(PDF 創(chuàng)建)不可用�。
風險評估:高
解決方案:在note3485284里列舉了需要升級的組件版本
評估者: basis顧問
修復人:Basis顧問
受影響的組件版本:
點評:如果是基于NetWeaver7.5平臺的客戶又啟用了ADS功能可以考慮升級一下組件版本
漏洞3:SAP CRM中的服務(wù)器端請求偽造
發(fā)布時間:13.08.2024
影響模塊:CRM
癥狀描述: 允許經(jīng)過身份驗證的攻擊者通過特別擬定 HTTP 請求來枚舉內(nèi)部網(wǎng)絡(luò)中的 HTTP 端點����。成功利用后,可能會導致信息披露�。
風險評估:高
解決方案:在note3487537里提供了三種解決方案�,打note的臨時方案�,增強代碼或者升級組件版本的永久性方案
評估者:ABAP顧問�,Basis顧問
修復人:Basis顧問,ABAP顧問
受影響的組件版本:
點評:老版本的CRM系統(tǒng)幾乎都中招了
漏洞4:SAP Netweaver Application Server ABAP 中的不正確訪問控制
發(fā)布時間:08.13.2024
影響模塊:全模塊
癥狀描述: 允許未經(jīng)身份驗證的攻擊者構(gòu)建可以繞過允許列表控件的 URL 鏈接��。根據(jù)由此服務(wù)器提供的 Web 應用程序�,攻擊者可能會向 Web 應用程序中注入 CSS 代碼或鏈接,從而允許攻擊者讀取或修改信息�。
風險評估:極高
解決方案:note3468102提供了解決方案
評估者:Basis顧問�,ABAP顧問
修復人:Basis顧問����,ABAP顧問
受影響的組件版本:
點評: 修復不復雜,SAP在note里提供了完整的修復代碼����,建議受到影響的用戶及時修復
漏洞5:SAP Document Builder 中缺少權(quán)限檢查
發(fā)布時間:13.08.2024
影響模塊:全模塊
癥狀描述: SAP Document Builder 不對其中一個功能模塊執(zhí)行必要的權(quán)限檢查��,導致權(quán)限升級會對應用程序的保密性造成較低的影響。
風險評估:低
解決方案:實施note3477423
評估者:Basis顧問
修復人:Basis顧問或ABAP顧問
受影響的組件版本:
點評: 上了S/4的企業(yè)幾乎全中招了�,好在風險級別不高��,有條件的用戶可以打上
漏洞6:SAP系統(tǒng)缺少權(quán)限檢查
發(fā)布時間:13.08.2024
影響模塊:全模塊
癥狀描述:經(jīng)過身份驗證的攻擊者可能會調(diào)用基礎(chǔ)事務(wù),從而導致用戶相關(guān)信息的公開��。
風險評估:極高
解決方案:note3494349
評估者: Basis顧問
修復人: Basis顧問先打上note補丁����,ABAP顧問程序修復
受影響的組件版本:
點評: 這個漏洞的風險就非常高了,涉及到的SAP版本也很多����,從最老的700版本到最新的S/4 2023都有涉及�,建議盡快修復
漏洞7:SAP共享服務(wù)框架中缺少多個權(quán)限檢查漏洞
發(fā)布時間:13.08.2024
影響模塊:CRM
癥狀描述:SAP Shared Service Framework 不會對經(jīng)過驗證的用戶執(zhí)行必要的權(quán)限檢查�,從而導致權(quán)限升級。在成功被利用時��,攻擊者可能會對應用程序的保密性造成很大影響�。
風險評估:中
解決方案:實施note3474590
評估者:CRM顧問
修復人:Basis顧問
受影響的組件版本:
點評: 小范圍受災,有條件的用戶可以考慮修復
漏洞8:SAP NetWeaver 應用服務(wù)器(ABAP 和 Java)�、SAP Web Dispatcher 和 SAP content server中缺少權(quán)限檢查
發(fā)布時間:27.08.2024
影響模塊:全模塊
癥狀描述:由于本地系統(tǒng)中缺少權(quán)限檢查�,SAP Web webdispatcher�、SAP NetWeaver Application Server(ABAP 和 Java)和 SAP content server的管理員用戶可以模仿其他用戶,并可能執(zhí)行一些意外操作��。這可能會導致對保密性的影響較低����,并對應用程序的完整性和可用性產(chǎn)生很大影響����。
風險評估:極高
解決方案:note3438085提供了具體的解決方案,有些復雜����,需要根據(jù)當前的系統(tǒng)環(huán)境和版本仔細評估
評估者:Basis顧問
修復人:Basis顧問
受影響的組件版本:
點評: 受害范圍極大��!風險極高!盡快修復!盡快修復!!盡快修復?。�。?nbsp;
漏洞9:SAP S/4 HANA 中的信息披露(法定報表)
發(fā)布時間:27.08.2024
影響模塊:FICO
癥狀描述:SAP S/4 HANA 中的法定報表允許具有基本權(quán)限的攻擊者訪問原本會受到限制的信息����。此漏洞可能會暴露應保持機密的內(nèi)部用戶數(shù)據(jù)����。
風險評估:高
解決方案:note3437585提供了修復補丁和建議的手動解決方案
評估者:FICO顧問
修復人:Basis顧問
受影響的組件版本:
點評: 好在受害范圍不是很廣�,不在上述組件版本內(nèi)的用戶可以放心了
【轉(zhuǎn)】https://mp.weixin.qq.com/s/qbuI9FjbVz7bepE3cQ0T1w
該文章在 2024/9/5 12:43:05 編輯過
400 186 1886
