Impatto Sistemico

Alto (66.53)

Sintesi

Nell’ambito del Security Patch Day di dicembre, SAP rilascia aggiornamenti di sicurezza per risolvere 12 nuove vulnerabilità, di cui 2 con gravità “critica” e 4 con gravità “alta”.

Tipologia

• Remote Code Execution
• Information Leakage
• Denial of Service

Prodotti e/o versioni affette

SAP

• Solution Manager, versione ST 720
• jConnect – SDK for ASE, versioni SYBASE_SOFTWARE_DEVELOPER_KIT 16.0.4, 16.1
• Web Dispatcher e Internet Communication Manager (ICM), versioni KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 7.53, 7.54
• NetWeaver (remote service for Xcelsius), versioni BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50, BIWEBAPP 7.50
• Business Objects, versioni ENTERPRISE 430, 2025, 2027
• Content Server, versioni KRNL64UC 7.53, WEBDISP 7.53, 7.54, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 7.53, 7.54, KERNEL 7.53, 7.54

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”: