漏洞1:Central Finance 基礎(chǔ)架構(gòu)組件中的可切換權(quán)限
發(fā)布時間:27.05.2024
影響模塊:FICO
癥狀描述:該場景為以下范圍中的各種 Central Finance 事務(wù)�、報表和 API 捆綁了新的權(quán)限檢查:
·映射工具
·鍵值映射審計日志
·第三方接口
·項目系統(tǒng)復制
·比較報
·刪除報表���。
風險等級:高
解決方案:通過實施 SAP Note 2638217后在SACF 中維護以下新權(quán)限場景
評估者:FICO顧問�,Basis顧問,ABAP顧問
修復人: Basis顧問+ABAP顧問(手動激活)
受影響的組件版本:
參考note:2638217
點評:建議受影響的用戶還是做一做���,萬一放下的心又懸著了呢?
漏洞2:SAP Process Integration 的企業(yè)服務(wù)資源庫中的信息披露
發(fā)布時間:14.05.2024
影響模塊:PI/PO
癥狀描述: 在某些情況下��,SAP Process Integration 的企業(yè)服務(wù)資源庫允許攻擊者訪問原本會受到限制的信息����。
風險等級:中
解決方案:note2745860
評估者:PO顧問,basis顧問
修復人:Basis顧問(note里有一堆補丁需要打)
受影響的組件版本:
參考note:2745860
點評:工作量很大�,如果決定執(zhí)行,會有停機�。如果內(nèi)網(wǎng)足夠安全,建議暫緩執(zhí)行�,畢竟請人做是要花錢的,但是請我們做就很實惠
漏洞3:PI 集成目錄相關(guān)的潛在信息被披露
發(fā)布時間:14.05.2024
影響模塊:PI/PO
癥狀描述: 攻擊者可以發(fā)現(xiàn)與 PI 集成目錄相關(guān)的信息(可使用 PI 集成目錄找到用戶名和密碼)���。此信息可用于允許攻擊者專門攻擊SAP Process Integration�����。
風險等級:中
解決方案:將 NW 應(yīng)用服務(wù)器 Java 系統(tǒng)更新為修復的版本或修復的組件包版本
評估者:PO顧問�����,Basis顧問
修復人:Basis(升級組件版本或系統(tǒng)版本)
受影響的組件版本:
點評:工作量很大����,如果決定執(zhí)行,會有停機����。如果內(nèi)網(wǎng)足夠安全,建議暫緩執(zhí)行����。
漏洞4:面向 ABAP 和 ABAP 平臺的 SAP NetWeaver Application Server 中的跨站點腳本 (XSS) 漏洞
發(fā)布時間:14.05.2024
影響模塊:全模塊
癥狀描述: 攻擊者可以控制在用戶瀏覽器內(nèi)執(zhí)行的代碼,這可能會導致修改��、刪除數(shù)據(jù)(包括訪問或刪除文件)���,或者竊取攻擊者可用于劫持用戶會話的會話 Cookie��。因此�����,這可能會對系統(tǒng)的保密性���、完整性和可用性產(chǎn)生影響。
風險等級:高
解決方案:升級組件或修復代碼
評估者:信息負責人(可能會造成停機,需要評估業(yè)務(wù)接受度)
修復人:Basis顧問升級組件或ABAP顧問實施修復代碼
受影響的組件版本:
參考note:3448445
點評: 這個漏洞厲害了�!SAP官方直說沒有解決方法,只能修復代碼或升級組件�����。
漏洞5:SAP Global Label Management (GLM) 中的 SQL 注入漏洞
發(fā)布時間:14.05.2024
影響模塊:EA/ES
癥狀描述: 攻擊者利用經(jīng)特殊設(shè)計的輸入來修改數(shù)據(jù)庫命令,從而檢索系統(tǒng)持久保存的其他信息�����。這可能會導致對應(yīng)用程序的保密性和完整性影響較低�����。
風險等級:高
解決方案:實施note1938764里的修正代碼���,或者升級EA組件版本
評估者:Basis顧問
修復人:Basis顧問或ABAP顧問
受影響的組件版本:
參考note:1938764
點評: 該漏洞僅對經(jīng)典的ERP產(chǎn)品有影響,S/4系列不需要擔心����。
漏洞6:SAP NetWeaver Application Server ABAP 和 ABAP 平臺中的文件上載漏洞
發(fā)布時間:14.05.2024
影響模塊:全模塊
癥狀描述:攻擊者可以將惡意文件上載到服務(wù)器,當受害者訪問該文件時�����,該惡意文件可能允許攻擊者完全損害系統(tǒng)。
風險等級:極高
解決方案:note3448171中提供了兩種方法
評估者:Basis顧問
修復人:Basis顧問
受影響的組件版本:
參考note:3448171
點評: 恭喜SAP經(jīng)典產(chǎn)品的業(yè)主們���,該漏洞只針對經(jīng)典的全系產(chǎn)品
漏洞7:SAP 銀行賬戶管理中缺少權(quán)限檢查
發(fā)布時間:14.05.2024
影響模塊:FICO
癥狀描述:SAP 銀行賬戶管理不會對授權(quán)用戶執(zhí)行必要的權(quán)限檢查�,因此降低了系統(tǒng)的保密性�。
風險等級:高
解決方案:實施note3392049
評估者:FICO顧問
修復人:Basis顧問
受影響的組件版本:
參考note:3392049
點評: 恭喜S/4的業(yè)主們中標,該漏洞只針對/S4的全系產(chǎn)品
漏洞8:管理銀行對賬單重新處理規(guī)則中缺少權(quán)限檢查
發(fā)布時間:14.05.2024
影響模塊:FICO
癥狀描述:管理銀行對賬單重新處理規(guī)則不會對已驗證的用戶執(zhí)行必要的權(quán)限檢查����,從而導致權(quán)限升級。通過利用此漏洞,攻擊者可以刪除影響應(yīng)用程序完整性的其他用戶的規(guī)則和啟用/禁用影響應(yīng)用程序完整性的其他用戶的共享規(guī)則�����。
風險等級:高
解決方案:實施note3434666里提供的修正代碼或升級組件版本
評估者:FICO顧問
修復人:Basis顧問或ABAP顧問
受影響的組件版本:
參考note:3434666
點評: 從S/4HANA 2020(含)開始往后的產(chǎn)品都應(yīng)該修正
漏洞9:跨站點腳本 (XSS) 漏洞(DPS 的文檔服務(wù)處理器)
發(fā)布時間:14.05.2024
影響模塊:文檔管理
癥狀描述:數(shù)據(jù)預配服務(wù)中的文檔服務(wù)處理程序(已過時)不會對用戶控制的輸入進行充分的編碼�,導致跨站點腳本(XSS)漏洞對應(yīng)用程序的保密性和完整性影響較低。
風險等級:中
解決方案:實施note3449741里的修正代碼或?qū)嵤┰搉ote或升級組件版本
評估者:Basis顧問
修復人:Basis顧問或ABAP顧問
受影響的組件版本:
參考note:3460772�、3449741
點評: 影響面很小,沒有用到文檔服務(wù)的用戶可以忽略�����,用到了的用戶也可以選擇性實施
漏洞10:SAP UI5 (PDFViewer) 中的客戶端腳本執(zhí)行漏洞
發(fā)布時間:14.05.2024
影響模塊:SAPUI
癥狀描述:如果 PDF 文檔包含嵌入式 JavaScript(或任何有害的客戶端腳本)�����,PDF 查看器將執(zhí)行嵌入到 PDF 中的 JavaScript,這可能會導致潛在的安全威脅�。
風險等級:高
解決方案:根據(jù)note3446076里的步驟執(zhí)行
評估者:ABAP顧問
修復人: ABAP顧問
受影響的組件版本:
參考note:3446076
點評: 影響面還是有點大的,從S/4HANA1909到2023無一幸免
漏洞11:跨站點腳本 (XSS) 漏洞
發(fā)布時間:28.05.2024
影響模塊:全模塊
癥狀描述:由于缺少不受信任數(shù)據(jù)的輸入驗證和輸出編碼����,SAP系統(tǒng)允許未經(jīng)身份驗證的攻擊者將惡意 JavaScript 代碼注入動態(tài)制作的 Web 頁面。攻擊者可以訪問或修改敏感信息���,而不會影響應(yīng)用程序的可用性�。
風險等級:極高
解決方案:note3450286提供了修復代碼或升級組件版本
評估者:ABAP顧問
修復人: ABAP顧問或Basis顧問
受影響的組件版本:
參考note:3450286
點評: 該漏洞涉及到的SAP產(chǎn)品眾多����,不僅僅是ERP��,其他ABAP平臺類的產(chǎn)品幾乎都有涉及���,強烈建議所有用戶更新
該文章在 2024/6/8 23:30:48 編輯過
400 186 1886
