2024年10月SAP系統漏洞及解決方案
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
漏洞1:SAP NetWeaver Enterprise Portal (KMC) 中的跨站點腳本 (XSS) 漏洞 發布時間:08.10.2024 影響模塊:EP 癥狀描述:EP未對用戶控制的輸入進行充分編碼,從而導致 KMC servlet 中出現跨站點腳本漏洞。攻擊者可以制作腳本并欺騙用戶單擊它。當在門戶上注冊的受害者單擊此類鏈接時,其 Web 瀏覽器會話的機密性和完整性可能會受到影響。 風險評估:高 解決方案:note3503462 評估者:EP顧問 修復人: Basis顧問 受影響的組件版本:
點評:雖然風險比較高,但是受眾應該很少
漏洞2:SAP NetWeaver AS for Java(目標服務)中的信息披露漏洞 發布時間:08.10.2024 影響模塊:JAVA 癥狀描述:SAP NetWeaver AS for Java 允許授權攻擊者獲取敏感信息。攻擊者可以在創建 RFC 目標時獲取用戶名和密碼。成功利用后,攻擊者可以讀取敏感信息。 風險評估:高 解決方案:note3477359 評估者: basis顧問 修復人:Basis顧問 受影響的組件版本:
點評:受影響面不是很廣,如果防火墻和殺毒都做到位了,其實也還好
漏洞3:SAP HANA 客戶端中的原型污染漏洞 發布時間:08.10.2024 影響模塊:HANA 癥狀描述:使用 nestTables 選項和 __proto__ 作為表名稱時,可能會出現原型污染,導致可以訪問任何表。 風險評估:中 解決方案:更新hana client的版本 評估者:Basis顧問 修復人:Basis顧問 受影響的組件版本:
點評:不是什么很可怕的問題
漏洞4:SAP 企業項目連接中的多個漏洞 發布時間:08.10.2024 影響模塊:CA 癥狀描述: SAP Enterprise Project Connection 使用 Spring Framework 和 Log4j 開源庫的版本,這些版本可能易受本 SAP Security Note 的“其他術語”部分中提到的 CVE 的影響。 風險評估:低 解決方案:note3523541 評估者:Basis顧問 修復人:Basis顧問 受影響的組件版本:
點評: 99%的用戶都不會受到影響的漏洞
漏洞5:SAP Replication Server (FOSS) 中存在多個漏洞 發布時間:08.10.2024 影響模塊:全模塊 癥狀描述:SAP Replication Server 不受漏洞影響,因為它不會使用 FOSS 中受影響的易受攻擊功能。但是開放源碼軟件會讓安裝的環境變得容易被攻擊。 風險評估:中 解決方案:參考note3495876,升級 OpenSSL 1.1.1w 和 Spring Framework 5.3.31 評估者:開發人員 修復人:開發人員 受影響的組件版本:
點評:開源的結構受到影響應該不會特別大
漏洞6:面向 ABAP SAP NetWeaver Application Server 中的信息披露漏洞 發布時間:08.10.2024 影響模塊:全模塊 癥狀描述:平臺允許攻擊者在沒有進一步授權的情況下訪問啟用遠程的功能模塊。 風險評估:極高 解決方案:note3454858,目前只有臨時的解決方案 評估者: Basis顧問 修復人: Basis顧問 受影響的組件版本:
點評: 這個漏洞的風險就非常高了,涉及到的SAP版本也很多,從最老的700版本到最新的S/4 2023都有涉及,建議盡快修復
來源:https://mp.weixin.qq.com/s/ZR7TunU18THJ9B_hAoiHbw 該文章在 2024/11/2 17:54:49 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
