LOGO OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 开发文档 其他文档  
 
网站管理员

2024年10月SAP系统漏洞及解决方案

admin
2024年11月1日 19:27 本文热度 331

漏洞1:SAP NetWeaver Enterprise Portal (KMC) 中的跨站点脚本 (XSS) 漏洞

发布时间:08.10.2024

影响模块:EP

症状描述:EP未对用户控制的输入进行充分编码,从而导致 KMC servlet 中出现跨站点脚本漏洞。攻击者可以制作脚本并欺骗用户单击它。当在门户上注册的受害者单击此类链接时,其 Web 浏览器会话的机密性和完整性可能会受到影响。

风险评估:

解决方案:note3503462

评估者:EP顾问

修复人: Basis顾问    

受影响的组件版本:

点评:虽然风险比较高,但是受众应该很少          

          

漏洞2:SAP NetWeaver AS for Java(目标服务)中的信息披露漏洞

发布时间:08.10.2024

影响模块:JAVA

症状描述:SAP NetWeaver AS for Java 允许授权攻击者获取敏感信息。攻击者可以在创建 RFC 目标时获取用户名和密码。成功利用后,攻击者可以读取敏感信息。

风险评估:

解决方案:note3477359

评估者: basis顾问

修复人:Basis顾问

受影响的组件版本:

点评:受影响面不是很广,如果防火墙和杀毒都做到位了,其实也还好          

          

漏洞3:SAP HANA 客户端中的原型污染漏洞

发布时间:08.10.2024    

影响模块:HANA

症状描述:使用 nestTables 选项和 __proto__ 作为表名称时,可能会出现原型污染,导致可以访问任何表。

风险评估:

解决方案:更新hana client的版本

评估者:Basis顾问

修复人:Basis顾问

受影响的组件版本:

            

点评:不是什么很可怕的问题          

          

漏洞4:SAP 企业项目连接中的多个漏洞

发布时间:08.10.2024

影响模块:CA

症状描述: SAP Enterprise Project Connection 使用 Spring Framework 和 Log4j 开源库的版本,这些版本可能易受本 SAP Security Note 的“其他术语”部分中提到的 CVE 的影响。

风险评估:

解决方案:note3523541

评估者:Basis顾问    

修复人:Basis顾问

受影响的组件版本:

点评: 99%的用户都不会受到影响的漏洞          

          

漏洞5:SAP Replication Server (FOSS) 中存在多个漏洞

发布时间:08.10.2024

影响模块:全模块

症状描述:SAP Replication Server 不受漏洞影响,因为它不会使用 FOSS 中受影响的易受攻击功能。但是开放源码软件会让安装的环境变得容易被攻击。

风险评估:

解决方案:参考note3495876,升级 OpenSSL 1.1.1w 和 Spring Framework 5.3.31

评估者:开发人员

修复人:开发人员

受影响的组件版本:

点评:开源的结构受到影响应该不会特别大          

              

漏洞6:面向 ABAP  SAP NetWeaver Application Server 中的信息披露漏洞

发布时间:08.10.2024

影响模块:全模块

症状描述:平台允许攻击者在没有进一步授权的情况下访问启用远程的功能模块。 

风险评估:极高

解决方案:note3454858,目前只有临时的解决方案

评估者: Basis顾问

修复人: Basis顾问

受影响的组件版本:

点评: 这个漏洞的风险就非常高了,涉及到的SAP版本也很多,从最老的700版本到最新的S/4 2023都有涉及,建议尽快修复     


来源:https://mp.weixin.qq.com/s/ZR7TunU18THJ9B_hAoiHbw


该文章在 2024/11/2 17:54:49 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2024 ClickSun All Rights Reserved