2024年10月SAP系統(tǒng)漏洞及解決方案
當(dāng)前位置:點(diǎn)晴教程→知識管理交流
→『 技術(shù)文檔交流 』
漏洞1:SAP NetWeaver Enterprise Portal (KMC) 中的跨站點(diǎn)腳本 (XSS) 漏洞 發(fā)布時間:08.10.2024 影響模塊:EP 癥狀描述:EP未對用戶控制的輸入進(jìn)行充分編碼,從而導(dǎo)致 KMC servlet 中出現(xiàn)跨站點(diǎn)腳本漏洞。攻擊者可以制作腳本并欺騙用戶單擊它。當(dāng)在門戶上注冊的受害者單擊此類鏈接時,其 Web 瀏覽器會話的機(jī)密性和完整性可能會受到影響。 風(fēng)險評估:高 解決方案:note3503462 評估者:EP顧問 修復(fù)人: Basis顧問 受影響的組件版本:
點(diǎn)評:雖然風(fēng)險比較高,但是受眾應(yīng)該很少
漏洞2:SAP NetWeaver AS for Java(目標(biāo)服務(wù))中的信息披露漏洞 發(fā)布時間:08.10.2024 影響模塊:JAVA 癥狀描述:SAP NetWeaver AS for Java 允許授權(quán)攻擊者獲取敏感信息。攻擊者可以在創(chuàng)建 RFC 目標(biāo)時獲取用戶名和密碼。成功利用后,攻擊者可以讀取敏感信息。 風(fēng)險評估:高 解決方案:note3477359 評估者: basis顧問 修復(fù)人:Basis顧問 受影響的組件版本:
點(diǎn)評:受影響面不是很廣,如果防火墻和殺毒都做到位了,其實也還好
漏洞3:SAP HANA 客戶端中的原型污染漏洞 發(fā)布時間:08.10.2024 影響模塊:HANA 癥狀描述:使用 nestTables 選項和 __proto__ 作為表名稱時,可能會出現(xiàn)原型污染,導(dǎo)致可以訪問任何表。 風(fēng)險評估:中 解決方案:更新hana client的版本 評估者:Basis顧問 修復(fù)人:Basis顧問 受影響的組件版本:
點(diǎn)評:不是什么很可怕的問題
漏洞4:SAP 企業(yè)項目連接中的多個漏洞 發(fā)布時間:08.10.2024 影響模塊:CA 癥狀描述: SAP Enterprise Project Connection 使用 Spring Framework 和 Log4j 開源庫的版本,這些版本可能易受本 SAP Security Note 的“其他術(shù)語”部分中提到的 CVE 的影響。 風(fēng)險評估:低 解決方案:note3523541 評估者:Basis顧問 修復(fù)人:Basis顧問 受影響的組件版本:
點(diǎn)評: 99%的用戶都不會受到影響的漏洞
漏洞5:SAP Replication Server (FOSS) 中存在多個漏洞 發(fā)布時間:08.10.2024 影響模塊:全模塊 癥狀描述:SAP Replication Server 不受漏洞影響,因為它不會使用 FOSS 中受影響的易受攻擊功能。但是開放源碼軟件會讓安裝的環(huán)境變得容易被攻擊。 風(fēng)險評估:中 解決方案:參考note3495876,升級 OpenSSL 1.1.1w 和 Spring Framework 5.3.31 評估者:開發(fā)人員 修復(fù)人:開發(fā)人員 受影響的組件版本:
點(diǎn)評:開源的結(jié)構(gòu)受到影響應(yīng)該不會特別大
漏洞6:面向 ABAP SAP NetWeaver Application Server 中的信息披露漏洞 發(fā)布時間:08.10.2024 影響模塊:全模塊 癥狀描述:平臺允許攻擊者在沒有進(jìn)一步授權(quán)的情況下訪問啟用遠(yuǎn)程的功能模塊。 風(fēng)險評估:極高 解決方案:note3454858,目前只有臨時的解決方案 評估者: Basis顧問 修復(fù)人: Basis顧問 受影響的組件版本:
點(diǎn)評: 這個漏洞的風(fēng)險就非常高了,涉及到的SAP版本也很多,從最老的700版本到最新的S/4 2023都有涉及,建議盡快修復(fù)
來源:https://mp.weixin.qq.com/s/ZR7TunU18THJ9B_hAoiHbw 該文章在 2024/11/2 17:54:49 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
