SAP本周宣布发布12个新的和更新的安全说明,作为2023年1月安全补丁日的一部分,其中包括7个“热点新闻”描述。其中4个安全说明被评为“热门”News”是SAP书中严重性最高的安全说明,新说明解决了BusinessPlanningandConsolidationMS、BusinessObjects和NetWeaver中的漏洞,而其余三个是针对2022年2022年11月和2022年12月发布的说明的更新。严重的新注释解决了BusinessPlanningandConsolidationMS中的SQL注入错误(CVE-2023-0016,CVSS得分9.9)和BusinessObjects商业智能平台代码注入缺陷(CVE-2023-0022,CVSS9.9分)。根据企业安全公司Onapsis,这些问题中的第一个可以被利用来在易受攻击的应用程序中执行精心设计的数据库查询,允许攻击者读取、修改或删除任意数据。可以通过网络利用代码注入漏洞,影响应用程序的机密性、完整性和可用性。Onapsis解释说:“该说明包含一个补丁和针对无法立即获得该补丁的客户的变通办法。但是,该变通办法只能用作临时解决方案,因为它会删除、停止或禁用受影响的服务。”其余新的“热点新闻”说明解决了NetWeaverASforJava中的不当访问控制错误(CVE-2023-0017,CVSS评分为9.4)和NetWeaverASforABAP和ABAP平台中的捕获重放漏洞(CVE-2023)-0014,CVSS评分为9.0)。通过利用第一个问题,未经身份验证的攻击者可以访问和修改用户数据并使系统服务不可用。捕获影响可信RFC和HTTP通信架构的重播错误,使攻击者能够获得对SAP系统的未授权访问。Onapsis表示,缓解该漏洞可能具有挑战性,因为它涉及应用“内核补丁、ABAP补丁以及所有受信任的RFC和HTTP目标的手动迁移”。SAP还更新了三个“热点新闻”说明,解决了BusinessObjects中不受信任数据的不安全反序列化缺陷(CVE-2022-41203)和NetWeaver中的两个不当访问控制问题(CVE-2022-4127和CVE-2022-41271)。在SAP的1月安全补丁日发布的其余五个说明解决了HostAgent(Windows)、NetWeaver、BusinessObjects和银行账户管理(ManagementBank)中的中度严重漏洞。原文:https://www.securityweek.com/saps-first-security-updates-2023-resolve-critical-vulnerabilities
