SAP, yama gününde 19 yeni güvenlik açığının ve ilgili güncellemelerin bir listesini yayınladı. Liste, CVSS puanları 9.9 üzerinden 10 olan iki kritik güvenlik açığı ve CVSS 9.6 ila 9.0 arasında olan diğer üç kritik güvenlik açığı içerdiğinden bu da gereklidir.
Neredeyse her ay olduğu gibi SAP Yama Günü Bloguna bir göz atmakta fayda var. Mart 2023 ayı yine geniş bir güvenlik açıkları listesi gösteriyor. Ortak Güvenlik Açığı Puanlama Sistemi - CVSS'ye göre listelenen 19 güvenlik açığından ve ilgili güncellemelerden 5'i "Kritik", 4'ü "Çok Tehlikeli" ve diğer 10'u "Orta Şiddetli" olarak sınıflandırılmıştır. Güvenlik açıklarından ikisi, 9.9 CVSS değeriyle özellikle savunmasız kabul ediliyor.
SAP'deki 5 kritik güvenlik açığı
- CVE-2023-25616, CVSS 9.9: SAP Business Objects Business Intelligence platformunda (CMC) kod enjeksiyon güvenlik açığı
- CVE-2023-23857, CVSS 9.9: Java için SAP NetWeaver AS'de geçersiz erişim kontrolü
- CVE-2023-27269, CVSS 9.6: ABAP ve ABAP platformu için SAP NetWeaver AS'de dizin geçişi güvenlik açığı
- CVE-2023-27500, CVSS 9.6: ABAP ve ABAP platformu için SAP NetWeaver AS'de (SAPRSBRO programı) dizin geçişi güvenlik açığı
- CVE-2023-25617, CVSS 9.0: SAP Business Objects Business Intelligence Platform'da (Adaptive Job Server) işletim sistemi komutlarının yürütülmesinde güvenlik açığı
Diğer 4 güvenlik sızıntısı son derece tehlikeli kabul edilir ve ayrıca hızlı bir şekilde güncellenmesi gerekir: CVE-2023-27893, CVE-2023-27501, CVE-2023-26459 (CVE-2023-25618 dahil), CVE-2023-27498. Sonuçta CVSS değerleri 8.8 ile 7.2 arasındadır. 5.3 ila 6.8 değeri ile SAP listesinde 10 güncelleme daha var.
SAP.com'da daha fazlası