CSIRT Toscana SAP Security Patch Day (AL04/250114/CSIRT-ITA)
Data:
14 Gennaio 2025 15:13
Sintesi
Nell’ambito del Security Patch Day di gennaio, SAP rilascia aggiornamenti di sicurezza per risolvere diverse vulnerabilità, di cui 2 con gravità “critica” e 3 con gravità “alta”.
Impatto sistemico
Alto (66.53)
Tipologia
- Privilege Escalation
- Information Disclosure
- Security Restrictions Bypass
- Data Manipulation
Prodotti e versioni affette
| Prodotto | Versione affetta |
|---|---|
| NetWeaver Application Server for ABAP and ABAP Platform | KRNL64NUC 7.22, 7.22EXT |
| KRNL64UC 7.22, 7.22EXT, 7.53, 8.04 | |
| KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13, 9.14 | |
| SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 | |
| NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework) | SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912, 913, 914 |
| BusinessObjects Business Intelligence Platform | ENTERPRISE 420, 430, 2025 |
| SAPSetup | LMSAPSETUP 9.0 |
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
CVE
| CVE |
|---|
| CVE-2025-0061: apre una nuova finestra |
| CVE-2025-0063: apre una nuova finestra |
| CVE-2025-0066: apre una nuova finestra |
| CVE-2025-0069: apre una nuova finestra |
| CVE-2025-0070: apre una nuova finestra |
Riferimenti
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2025.html