SK-CERT Bezpečnostné varovanie V20240522-03
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.6 |
| Identifikátor |
| SAP produkty – tri kritické bezpečnostné zraniteľnosti |
| Popis |
| Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú tri označené ako kritické. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-33006 sa nachádza v produktoch SAP NetWeaver Application Server ABAP a ABAP Platform, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitie zraniteľnosti vyžaduje interakciu používateľa. Zneužitím ostatných bezpečnostných zraniteľností možno vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
| Dátum prvého zverejnenia varovania |
| 14.5.2024 |
| CVE |
| CVE-2019-17495, CVE-2022-36364, CVE-2024-33006, CVE-2024-28165, CVE-2024-32730, CVE-2024-34687, CVE-2024-32733, CVE-2024-33002, CVE-2024-32731, CVE-2024-33008, CVE-2024-4139, CVE-2024-4138, CVE-2024-33004, CVE-2024-33009, CVE-2024-33000, CVE-2024-33007 |
| IOC |
| – |
| Zasiahnuté systémy |
| My Travel Requests SAP ABAP Platform SAP Bank Account Management SAP Business Client SAP BusinessObjects (Business Intelligence Platform) SAP BusinessObjects Business Intelligence Platform (Webservices) SAP Commerce SAP Enable Now SAP Global Label Management (GLM) SAP NetWeaver Application Server ABAP SAP NetWeaver Application server for ABAP and ABAP Platform SAP Process Integration SAP Replication Server SAP S/4 HANA (Manage Bank Statement Reprocessing Rules) SAP S/4HANA (Document Service Handler for DPS) SAPUI5 Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE |
| Následky |
| Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
| Zdroje |
| https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2024.html |
« Späť na zoznam
