CSIRT Toscana SAP Security Patch Day (AL02/240109/CSIRT-ITA)
Data:
9 Gennaio 2024 09:12
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.
Sintesi
SAP rilascia il Security Patch Day di gennaio che risolve 10 nuove vulnerabilità nei suoi prodotti, di cui 2 con gravità “critica” e 4 con gravità “alta”.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (65,51/100)1.
Tipologia
- Arbitrary Code Execution
- Information Disclosure
- Privilege Escalation
- Security Restrictions Bypass
Prodotti e versioni affette
SAP
- sap/xssec, versioni precedenti alla 3.6.0
- sap/approuter, versione 14.4.2
- Edge Integration Cell, versioni precedenti alla 8.9.12
- Edge Integration Cell, versioni precedenti alla 8.9.12
- Application Interface Framework (File Adapter), versione 702
- Web Dispatcher, versioni WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP 7.89, WEBDISP 7.90, WEBDISP 7.94, WEBDISP 7.95,
- NetWeaver AS ABAP and ABAP Platform, versioni KRNL64UC 7.53, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.94, KERNEL 7.93, KERNEL 7.95
- Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge), versione 1.0
- LT Replication Server, versione S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:
Riferimenti
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.