WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
SAP vá nhiều lỗ hổng nghiêm trọng trong NetWeaver
SAP vừa thông báo về một loạt bản vá và cập nhật cho các lỗ hổng nghiêm trọng trong các sản phẩm của hãng.
Quan trọng nhất trong số này là bản cập nhật cho trình duyệt dựa trên Chrome trong SAP Business Client.
Tiếp đến là CVE-2022-27668 (điểm CVSS là 8,6), một lỗi kiểm soát truy cập không đúng cách liên quan đến proxy SAProuter trong NetWeaver và ABAP Platform. Bản vá cho lỗi này có “mức độ ưu tiên cao”.
Theo công ty an ninh ứng dụng kinh doanh Onapsis, một cấu hình được phép của bảng cấp quyền định tuyến (route permission table) có thể cho phép kẻ tấn công không được xác thực vượt qua các biện pháp bảo vệ để thực hiện các lệnh quản trị trên hệ thống có kết nối với SAPRouter, phá hoại tính khả dụng của hệ thống. Khách hàng được khuyến cáo áp dụng bản vá có sẵn càng sớm càng tốt.
Onapsis cho biết, tháng trước SAP đã giải quyết vấn đề kiểm soát truy cập không đúng cách trong NetWeaver AS Java, một lỗ hổng nghiêm trọng khác (điểm CVSS là 8,2) có thể dẫn đến xâm nhập hệ thống.
Trong Security Patch Day tháng 6/2022, SAP cũng phát hành thông báo giải quyết CVE-2022-31590 (điểm CVSS là 7,8), một vấn đề leo thang đặc quyền trong PowerDesigner Proxy 16.7.
Tất cả các thông báo phát hành bản vá và cập nhật khác được SAP công bố trong tuần này đều có “mức độ ưu tiên trung bình” hoặc “mức độ ưu tiên thấp”.
Tuần trước, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung vào danh mục 'Các lỗ hổng đang bị khai thác' ba lỗ hổng trong SAP NetWeaver là CVE-2021-38163, CVE-2016-2386 và CVE-2016-2388.
Theo Onapsis, đã có dấu hiệu cho thấy hacker đang khai thác các lỗ hổng này, nhưng công ty chưa chia sẻ bất kỳ thông tin nào về các cuộc tấn công.
Quan trọng nhất trong số này là bản cập nhật cho trình duyệt dựa trên Chrome trong SAP Business Client.
Tiếp đến là CVE-2022-27668 (điểm CVSS là 8,6), một lỗi kiểm soát truy cập không đúng cách liên quan đến proxy SAProuter trong NetWeaver và ABAP Platform. Bản vá cho lỗi này có “mức độ ưu tiên cao”.
Theo công ty an ninh ứng dụng kinh doanh Onapsis, một cấu hình được phép của bảng cấp quyền định tuyến (route permission table) có thể cho phép kẻ tấn công không được xác thực vượt qua các biện pháp bảo vệ để thực hiện các lệnh quản trị trên hệ thống có kết nối với SAPRouter, phá hoại tính khả dụng của hệ thống. Khách hàng được khuyến cáo áp dụng bản vá có sẵn càng sớm càng tốt.
Onapsis cho biết, tháng trước SAP đã giải quyết vấn đề kiểm soát truy cập không đúng cách trong NetWeaver AS Java, một lỗ hổng nghiêm trọng khác (điểm CVSS là 8,2) có thể dẫn đến xâm nhập hệ thống.
Trong Security Patch Day tháng 6/2022, SAP cũng phát hành thông báo giải quyết CVE-2022-31590 (điểm CVSS là 7,8), một vấn đề leo thang đặc quyền trong PowerDesigner Proxy 16.7.
Tất cả các thông báo phát hành bản vá và cập nhật khác được SAP công bố trong tuần này đều có “mức độ ưu tiên trung bình” hoặc “mức độ ưu tiên thấp”.
Tuần trước, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung vào danh mục 'Các lỗ hổng đang bị khai thác' ba lỗ hổng trong SAP NetWeaver là CVE-2021-38163, CVE-2016-2386 và CVE-2016-2388.
Theo Onapsis, đã có dấu hiệu cho thấy hacker đang khai thác các lỗ hổng này, nhưng công ty chưa chia sẻ bất kỳ thông tin nào về các cuộc tấn công.
Theo Security Week
Chỉnh sửa lần cuối bởi người điều hành: