CSIRT Toscana SAP Security Patch Day (AL05/240313/CSIRT-ITA)
Data:
13 Marzo 2024 10:43
Sintesi
SAP rilascia il Security Patch Day di marzo che risolve 10 nuove vulnerabilità nei suoi prodotti, di cui 2 con gravità “critica” e 2 con gravità “alta”.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (65,89/100)1.
Tipologia
- Remote Code Execution
- Denial of Service
Prodotti e versioni affette
SAP
- Build Apps, versioni precedenti alla 4.9.145
- NetWeaver AS Java (Administrator Log Viewer plug-in), versione 7.50
- HANA Database, versione 2.0
- HANA Extended Application Services Advanced (XS Advanced), versione 1.0
- BusinessObjects Business Intelligence Platform (Central Management Console), versione 4.3
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:
Riferimenti
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2024.html
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.