SK-CERT Bezpečnostné varovanie V20230112-02
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.9 |
Identifikátor |
SAP produkty – viacero kritických bezpečnostných zraniteľností |
Popis |
Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktorá opravuje viacero bezpečnostných zraniteľností z ktorých je viacero kritických. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa prostredníctvom SQL injekcie vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
10.01.2022 |
CVE |
CVE-2022-41203, CVE-2022-41271, CVE-2022-41272, CVE-2023-0012, CVE-2023-0013, CVE-2023-0014, CVE-2023-0015, CVE-2023-0016, CVE-2023-0017, CVE-2023-0018, CVE-2023-0022, CVE-2023-0023 |
IOC |
– |
Zasiahnuté systémy |
SAP BPC MS 10.0 vo verzii 800, 810 SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP) vo verzii 420, 430 SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad) vo verzii 4.2, 4.3 SAP BusinessObjects Business Intelligence Platform (Central management console) vo verzii 420, 430 SAP NetWeaver Process Integration vo verzii 7.50 SAP NetWeaver AS for Java vo verzii 7.50 SAP NetWeaver ABAP Server and ABAP Platform vo verzii SAP_BASIS 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, KERNEL 7.22, 7.53, 7.77, 7.81, 7.85, 7.89, KRNL64UC 7.22, 7.22EXT, 7.53, KRNL64NUC 7.22, 7.22EXT SAP Host Agent (Windows) vo verzii 7.21, 7.22 SAP NetWeaver AS for ABAP and ABAP Platform vo verzii 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 SAP Bank Account Management (Manage Banks) vo verzii 800, 900 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html https://nvd.nist.gov/vuln/detail/CVE-2023-0016 |
« Späť na zoznam