SAP corregge 19 bug di sicurezza, 5 dei quali sono con score superiore a 9.0

Redazione RHC : 18 Marzo 2023 15:41

SAP ha recentemente corretto 19 vulnerabilità  nell’ambito delle patch di marzo 2023. Cinque vulnerabilità sono classificate come critiche e sono state anche etichettate come “hot news” dal fornitore.

Le vulnerabilità critiche interessano diverse versioni dei seguenti prodotti:

• SAP Business Objects Business Intelligence (CMC)
• SAP NetWeaver AS per Java
• SAP NetWeaver Application Server per piattaforma ABAP e ABAP
• SAP NetWeaver AS per piattaforma ABAP e ABAP (programma SAPRSBRO)
• SAP Business Objects (Adaptive Job Server)

Le vulnerabilità critiche risolte dalla patch e le specifiche delle versioni del prodotto interessate sono descritte di seguito:

• CVE-2023-25616(punteggio CVSS: 9,9):  una vulnerabilità critica di code injection nella  piattaforma SAP Business Intelligence (versioni 420 e 430)  che consente agli aggressori di accedere alle risorse disponibili solo per gli utenti privilegiati. Un attacco riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.
• CVE-2023-23857(punteggio CVSS: 9.8)  Un utente malintenzionato non autenticato può sfruttare una vulnerabilità in  SAP NetWeaver AS per Java, versione 7.50, consentendogli di eseguire operazioni non autorizzate sui sistemi. L’attaccante può accedere ai servizi tramite l’API di directory, potenzialmente leggendo e modificando informazioni sensibili e rendendo il sistema non rispondente o non disponibile.
• CVE-2023-27269(punteggio CVSS: 9,6)  Un problema critico di path traversal in SAP NetWeaver Application Server per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 e 791)  che consente agli utenti non amministratori di sovrascrivere i file di sistema. Durante questo attacco, non è possibile leggere alcun dato, ma l’aggressore può potenzialmente sovrascrivere file critici del sistema operativo. Ciò potrebbe comportare l’indisponibilità del sistema.
• CVE-2023-27500(punteggio CVSS: 9,6)  Un difetto critico di directory traversal in  SAP NetWeaver AS per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757). Un utente malintenzionato può sfruttare la falla nel programma  SAPRSBRO  per sovrascrivere i file di sistema critici e rendere il sistema non disponibile.
• CVE-2023-25617(punteggio CVSS: 9.0):  le versioni 420 e 430 di SAP Business Object (Adaptive Job Server)  presentano questa vulnerabilità che consente agli utenti remoti e autenticati con diritti di pianificazione di eseguire comandi arbitrari su sistemi Unix se l’esecuzione di oggetti programma è abilitata. La vulnerabilità può essere sfruttata tramite BI Launchpad, Central Management Console o un’applicazione personalizzata basata sull’SDK Java pubblico. Uno sfruttamento riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Si consiglia agli utenti e agli amministratori dei prodotti SAP interessati di eseguire immediatamente l’aggiornamento alle versioni più recenti.

Maggiori informazioni sono disponibili qui: 
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli