SAP2023年的首个安全更新解决了关键漏洞

​SAP 本周宣布发布 12 个新的和更新的安全说明，作为 2023 年 1 月安全补丁日的一部分，其中包括 7 个解决严重漏洞的“热点新闻”说明。

创新互联公司是一家专业提供番禺企业网站建设,专注与网站建设、网站制作、HTML5、小程序制作等业务。10年已为番禺众多企业、政府机构等服务。创新互联专业的建站公司优惠进行中。

被评为“热点新闻”的安全说明中有四个是SAP 书中严重程度最高的安全说明，它们是解决 Business Planning and Consolidation MS、BusinessObjects 和 NetWeaver 中漏洞的新说明，而其余三个是对 2022 年 11 月和 2022 年 12 月发布的说明的更新.

最严重的新说明解决了 Business Planning and Consolidation MS 中的 SQL 注入错误（CVE-2023-0016，CVSS 得分为 9.9），以及 BusinessObjects 商业智能平台中的代码注入缺陷（CVE-2023-0022，CVSS 9.9 分）。

根据企业安全公司 Onapsis 的说法，这些问题中的第一个可以被利用来在易受攻击的应用程序中执行精心设计的数据库查询，从而允许攻击者读取、修改或删除任意数据。

可以通过网络利用代码注入漏洞，从而影响应用程序的机密性、完整性和可用性。

“该说明包含针对无法立即提供此补丁的客户的补丁和解决方法。但是，此解决方法只能用作临时解决方案，因为它会删除、停止或禁用受影响的服务，” Onapsis 解释道。

其余新的“热点新闻”说明解决了 NetWeaver AS for Java 中的不当访问控制错误（CVE-2023-0017，CVSS 评分为 9.4）以及 NetWeaver AS for ABAP 和 ABAP 平台中的捕获重放漏洞（CVE-2023 -0014，CVSS 得分为 9.0）。

通过利用第一个问题，未经身份验证的攻击者可以访问和修改用户数据并使系统服务不可用。

捕获重放错误影响受信任的 RFC 和 HTTP 通信的架构，允许攻击者获得对 SAP 系统的未授权访问。

Onapsis 表示，缓解该漏洞可能具有挑战性，因为它涉及应用“内核补丁、ABAP 补丁以及所有受信任的 RFC 和 HTTP 目标的手动迁移”。

SAP 还更新了三个“热点新闻”说明，解决了 BusinessObjects 中不受信任的数据缺陷的不安全反序列化 (CVE-2022-41203) 和 NetWeaver 中的两个不当访问控制问题（CVE-2022-4127 和 CVE-2022-41271）。

在 SAP 的 1 月安全补丁日发布的其余五份说明解决了 Host Agent (Windows)、NetWeaver、BusinessObjects 和银行账户管理（管理银行）中的中等严重漏洞。

原文：https://www.securityweek.com/saps-first-security-updates-2023-resolve-critical-vulnerabilities

本文名称：SAP2023年的首个安全更新解决了关键漏洞
本文链接：http://www.gawzjz.com/qtweb2/news44/8344.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联