SK-CERT Bezpečnostné varovanie V20240815-03
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.8 |
| Identifikátor |
| SAP produkty – dve kritické bezpečnostné zraniteľnosti |
| Popis |
| Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú dve označené ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-41730 sa nachádza v produkte SAP BusinessObjects Business Intelligence Platform, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky získať úplnú kontrolu nad systémom. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód. Zneužitie zraniteľností s identifikátormi CVE-2024-41732 a CVE-2024-41735 vyžaduje interakciu zo strany používateľa. |
| Dátum prvého zverejnenia varovania |
| 13.8.2024 |
| CVE |
| CVE-2024-41730, CVE-2024-41733, CVE-2024-33003, CVE-2024-42373, CVE-2024-41735, CVE-2024-39591, CVE-2024-41732, CVE-2024-33005, CVE-2024-28166, CVE-2024-41736, CVE-2024-41737, CVE-2024-41731, CVE-2024-42375, CVE-2024-41734, CVE-2024-42376, CVE-2024-42374, CVE-2024-29415, CVE-2023-30533, CVE-2023-0215, CVE-2023-0286, CVE-2022-0778 |
| IOC |
| – |
| Zasiahnuté systémy |
| SAP BusinessObjects Business Intelligence Platform bez aplikovanej bezpečnostnej záplaty vo verzii ENTERPRISE 420, 430 a 440 SAP Build Apps vo verzii staršej ako 4.11.130 SAP BEx Web Java Runtime Export Web Service bez aplikovanej bezpečnostnej záplaty vo verzii BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5, BIWEBAPP 7.5 SAP S/4 HANA vo verzii knižnice SheetJS CE staršej ako 0.19.3 SAP Commerce Cloud bez aplikovanej bezpečnostnej záplaty vo verzii HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211 SAP Replication Server bez aplikovanej bezpečnostnej záplaty vo verzii 16.0.3, 16.0.4 SAP Shared Service Framework bez aplikovanej bezpečnostnej záplaty vo verzii SAP_BS_FND 702, 731, 746, 747, 748 SAP NetWeaver Application Server (ABAP and Java) bez aplikovanej bezpečnostnej záplaty vo verzii KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.53, 7.77, 7.85, 7.22_EXT, 7.89, 7.54, 7.93, KERNEL 7.22, 7.53, 7.77, 7.85, 7.89, 7.54, 7.93 SAP Web Dispatcher and SAP Content Server bez aplikovanej bezpečnostnej záplaty vo verzii KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.53, 7.77, 7.85, 7.22_EXT, 7.89, 7.54, 7.93, KERNEL 7.22, 7.53, 7.77, 7.85, 7.89, 7.54, 7.93 SAP Commerce Backoffice bez aplikovanej bezpečnostnej záplaty vo verzii HY_COM 2205 SAP Commerce bez aplikovanej bezpečnostnej záplaty vo verzii COM_CLOUD 2211 SAP Commerce bez aplikovanej bezpečnostnej záplaty vo verzii HY_COM 2205 SAP CRM ABAP bez aplikovanej bezpečnostnej záplaty vo verzii BBPCRM 700, 701, 702, 712, 713, 714 SAP NetWeaver Application Server ABAP and ABAP Platform bez aplikovanej bezpečnostnej záplaty vo verzii SAP_UI 754, 755, 756, 757, 758 a SAP_BASIS 700, 701, 702, 731, 740, 750 SAP BusinessObjects Business Intelligence Platform bez aplikovanej bezpečnostnej záplaty vo verzii ENTERPRISE 420, 430, 440 SAP Permit to Work bez aplikovanej bezpečnostnej záplaty vo verzii UIS4HOP1 800, UIS4HOP1 900 SAP Document Builder bez aplikovanej bezpečnostnej záplaty vo verzii S4FND 102, 103, 104, 105, 106, 107, 108 SAP Student Life Cycle Management (SLcM) bez aplikovanej bezpečnostnej záplaty vo verzii IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808 SAP_SE SAP NetWeaver Application Server (ABAP and Java), SAP Web Dispatcher and SAP Content Server bez aplikovanej bezpečnostnej záplaty vo verzii KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.53, 7.77, 7.85, 7.22_EXT, 7.89, 7.54, 7.93, KERNEL 7.22, 7.53, 7.77, 7.85, 7.89, 7.54, 7.93 |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Eskalácia privilégií Neoprávnený prístup do systému Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
| Zdroje |
|
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html https://exchange.xforce.ibmcloud.com/vulnerabilities/350914 |
« Späť na zoznam
