漏洞1:Central Finance 基礎(chǔ)架構(gòu)組件中的可切換權(quán)限
發(fā)布時(shí)間:27.05.2024
影響模塊:FICO
癥狀描述:該場(chǎng)景為以下范圍中的各種 Central Finance 事務(wù)��、報(bào)表和 API 捆綁了新的權(quán)限檢查:
·映射工具
·鍵值映射審計(jì)日志
·第三方接口
·項(xiàng)目系統(tǒng)復(fù)制
·比較報(bào)
·刪除報(bào)表�。
風(fēng)險(xiǎn)等級(jí):高
解決方案:通過(guò)實(shí)施 SAP Note 2638217后在SACF 中維護(hù)以下新權(quán)限場(chǎng)景
評(píng)估者:FICO顧問(wèn)����,Basis顧問(wèn),ABAP顧問(wèn)
修復(fù)人: Basis顧問(wèn)+ABAP顧問(wèn)(手動(dòng)激活)
受影響的組件版本:
參考note:2638217
點(diǎn)評(píng):建議受影響的用戶還是做一做�����,萬(wàn)一放下的心又懸著了呢����?
漏洞2:SAP Process Integration 的企業(yè)服務(wù)資源庫(kù)中的信息披露
發(fā)布時(shí)間:14.05.2024
影響模塊:PI/PO
癥狀描述: 在某些情況下,SAP Process Integration 的企業(yè)服務(wù)資源庫(kù)允許攻擊者訪問(wèn)原本會(huì)受到限制的信息����。
風(fēng)險(xiǎn)等級(jí):中
解決方案:note2745860
評(píng)估者:PO顧問(wèn)���,basis顧問(wèn)
修復(fù)人:Basis顧問(wèn)(note里有一堆補(bǔ)丁需要打)
受影響的組件版本:
參考note:2745860
點(diǎn)評(píng):工作量很大,如果決定執(zhí)行��,會(huì)有停機(jī)��。如果內(nèi)網(wǎng)足夠安全���,建議暫緩執(zhí)行��,畢竟請(qǐng)人做是要花錢的�����,但是請(qǐng)我們做就很實(shí)惠
漏洞3:PI 集成目錄相關(guān)的潛在信息被披露
發(fā)布時(shí)間:14.05.2024
影響模塊:PI/PO
癥狀描述: 攻擊者可以發(fā)現(xiàn)與 PI 集成目錄相關(guān)的信息(可使用 PI 集成目錄找到用戶名和密碼)��。此信息可用于允許攻擊者專門攻擊SAP Process Integration��。
風(fēng)險(xiǎn)等級(jí):中
解決方案:將 NW 應(yīng)用服務(wù)器 Java 系統(tǒng)更新為修復(fù)的版本或修復(fù)的組件包版本
評(píng)估者:PO顧問(wèn)��,Basis顧問(wèn)
修復(fù)人:Basis(升級(jí)組件版本或系統(tǒng)版本)
受影響的組件版本:
點(diǎn)評(píng):工作量很大���,如果決定執(zhí)行�����,會(huì)有停機(jī)。如果內(nèi)網(wǎng)足夠安全�����,建議暫緩執(zhí)行���。
漏洞4:面向 ABAP 和 ABAP 平臺(tái)的 SAP NetWeaver Application Server 中的跨站點(diǎn)腳本 (XSS) 漏洞
發(fā)布時(shí)間:14.05.2024
影響模塊:全模塊
癥狀描述: 攻擊者可以控制在用戶瀏覽器內(nèi)執(zhí)行的代碼�����,這可能會(huì)導(dǎo)致修改����、刪除數(shù)據(jù)(包括訪問(wèn)或刪除文件)���,或者竊取攻擊者可用于劫持用戶會(huì)話的會(huì)話 Cookie�。因此����,這可能會(huì)對(duì)系統(tǒng)的保密性�、完整性和可用性產(chǎn)生影響��。
風(fēng)險(xiǎn)等級(jí):高
解決方案:升級(jí)組件或修復(fù)代碼
評(píng)估者:信息負(fù)責(zé)人(可能會(huì)造成停機(jī)���,需要評(píng)估業(yè)務(wù)接受度)
修復(fù)人:Basis顧問(wèn)升級(jí)組件或ABAP顧問(wèn)實(shí)施修復(fù)代碼
受影響的組件版本:
參考note:3448445
點(diǎn)評(píng): 這個(gè)漏洞厲害了����!SAP官方直說(shuō)沒(méi)有解決方法�,只能修復(fù)代碼或升級(jí)組件。
漏洞5:SAP Global Label Management (GLM) 中的 SQL 注入漏洞
發(fā)布時(shí)間:14.05.2024
影響模塊:EA/ES
癥狀描述: 攻擊者利用經(jīng)特殊設(shè)計(jì)的輸入來(lái)修改數(shù)據(jù)庫(kù)命令,從而檢索系統(tǒng)持久保存的其他信息�����。這可能會(huì)導(dǎo)致對(duì)應(yīng)用程序的保密性和完整性影響較低�����。
風(fēng)險(xiǎn)等級(jí):高
解決方案:實(shí)施note1938764里的修正代碼����,或者升級(jí)EA組件版本
評(píng)估者:Basis顧問(wèn)
修復(fù)人:Basis顧問(wèn)或ABAP顧問(wèn)
受影響的組件版本:
參考note:1938764
點(diǎn)評(píng): 該漏洞僅對(duì)經(jīng)典的ERP產(chǎn)品有影響,S/4系列不需要擔(dān)心����。
漏洞6:SAP NetWeaver Application Server ABAP 和 ABAP 平臺(tái)中的文件上載漏洞
發(fā)布時(shí)間:14.05.2024
影響模塊:全模塊
癥狀描述:攻擊者可以將惡意文件上載到服務(wù)器�����,當(dāng)受害者訪問(wèn)該文件時(shí)��,該惡意文件可能允許攻擊者完全損害系統(tǒng)�����。
風(fēng)險(xiǎn)等級(jí):極高
解決方案:note3448171中提供了兩種方法
評(píng)估者:Basis顧問(wèn)
修復(fù)人:Basis顧問(wèn)
受影響的組件版本:
參考note:3448171
點(diǎn)評(píng): 恭喜SAP經(jīng)典產(chǎn)品的業(yè)主們,該漏洞只針對(duì)經(jīng)典的全系產(chǎn)品
漏洞7:SAP 銀行賬戶管理中缺少權(quán)限檢查
發(fā)布時(shí)間:14.05.2024
影響模塊:FICO
癥狀描述:SAP 銀行賬戶管理不會(huì)對(duì)授權(quán)用戶執(zhí)行必要的權(quán)限檢查���,因此降低了系統(tǒng)的保密性��。
風(fēng)險(xiǎn)等級(jí):高
解決方案:實(shí)施note3392049
評(píng)估者:FICO顧問(wèn)
修復(fù)人:Basis顧問(wèn)
受影響的組件版本:
參考note:3392049
點(diǎn)評(píng): 恭喜S/4的業(yè)主們中標(biāo)�,該漏洞只針對(duì)/S4的全系產(chǎn)品
漏洞8:管理銀行對(duì)賬單重新處理規(guī)則中缺少權(quán)限檢查
發(fā)布時(shí)間:14.05.2024
影響模塊:FICO
癥狀描述:管理銀行對(duì)賬單重新處理規(guī)則不會(huì)對(duì)已驗(yàn)證的用戶執(zhí)行必要的權(quán)限檢查�,從而導(dǎo)致權(quán)限升級(jí)。通過(guò)利用此漏洞,攻擊者可以刪除影響應(yīng)用程序完整性的其他用戶的規(guī)則和啟用/禁用影響應(yīng)用程序完整性的其他用戶的共享規(guī)則���。
風(fēng)險(xiǎn)等級(jí):高
解決方案:實(shí)施note3434666里提供的修正代碼或升級(jí)組件版本
評(píng)估者:FICO顧問(wèn)
修復(fù)人:Basis顧問(wèn)或ABAP顧問(wèn)
受影響的組件版本:
參考note:3434666
點(diǎn)評(píng): 從S/4HANA 2020(含)開(kāi)始往后的產(chǎn)品都應(yīng)該修正
漏洞9:跨站點(diǎn)腳本 (XSS) 漏洞(DPS 的文檔服務(wù)處理器)
發(fā)布時(shí)間:14.05.2024
影響模塊:文檔管理
癥狀描述:數(shù)據(jù)預(yù)配服務(wù)中的文檔服務(wù)處理程序(已過(guò)時(shí))不會(huì)對(duì)用戶控制的輸入進(jìn)行充分的編碼���,導(dǎo)致跨站點(diǎn)腳本(XSS)漏洞對(duì)應(yīng)用程序的保密性和完整性影響較低。
風(fēng)險(xiǎn)等級(jí):中
解決方案:實(shí)施note3449741里的修正代碼或?qū)嵤┰搉ote或升級(jí)組件版本
評(píng)估者:Basis顧問(wèn)
修復(fù)人:Basis顧問(wèn)或ABAP顧問(wèn)
受影響的組件版本:
參考note:3460772�、3449741
點(diǎn)評(píng): 影響面很小����,沒(méi)有用到文檔服務(wù)的用戶可以忽略�,用到了的用戶也可以選擇性實(shí)施
漏洞10:SAP UI5 (PDFViewer) 中的客戶端腳本執(zhí)行漏洞
發(fā)布時(shí)間:14.05.2024
影響模塊:SAPUI
癥狀描述:如果 PDF 文檔包含嵌入式 JavaScript(或任何有害的客戶端腳本),PDF 查看器將執(zhí)行嵌入到 PDF 中的 JavaScript���,這可能會(huì)導(dǎo)致潛在的安全威脅�����。
風(fēng)險(xiǎn)等級(jí):高
解決方案:根據(jù)note3446076里的步驟執(zhí)行
評(píng)估者:ABAP顧問(wèn)
修復(fù)人: ABAP顧問(wèn)
受影響的組件版本:
參考note:3446076
點(diǎn)評(píng): 影響面還是有點(diǎn)大的�,從S/4HANA1909到2023無(wú)一幸免
漏洞11:跨站點(diǎn)腳本 (XSS) 漏洞
發(fā)布時(shí)間:28.05.2024
影響模塊:全模塊
癥狀描述:由于缺少不受信任數(shù)據(jù)的輸入驗(yàn)證和輸出編碼�����,SAP系統(tǒng)允許未經(jīng)身份驗(yàn)證的攻擊者將惡意 JavaScript 代碼注入動(dòng)態(tài)制作的 Web 頁(yè)面����。攻擊者可以訪問(wèn)或修改敏感信息,而不會(huì)影響應(yīng)用程序的可用性����。
風(fēng)險(xiǎn)等級(jí):極高
解決方案:note3450286提供了修復(fù)代碼或升級(jí)組件版本
評(píng)估者:ABAP顧問(wèn)
修復(fù)人: ABAP顧問(wèn)或Basis顧問(wèn)
受影響的組件版本:
參考note:3450286
點(diǎn)評(píng): 該漏洞涉及到的SAP產(chǎn)品眾多,不僅僅是ERP,其他ABAP平臺(tái)類的產(chǎn)品幾乎都有涉及����,強(qiáng)烈建議所有用戶更新
該文章在 2024/6/8 23:30:48 編輯過(guò)
400 186 1886
