Af Eskil Sørensen, 15/05/23
Den tyske producent af virksomhedsløsninger SAP har i sidste uge udgivet 18 nye advisories vedrørende patch-dagen for maj 2023. To af dem omhandler kritiske sårbarheder. Det skriver Security Week.
Den mest alvorlige sårbarhed har id’et CVE-2021-44152 (CVSS-score på 9,8). Det er en ukorrekt godkendelsesstjek, der kan gøre det muligt for en uautoriseret hacker at ændre adgangskoden til enhver brugerkonto.
Af Torben B. Sørensen, 12/04/18
En samling sårbarheder i SAP Business Client har fået firmaets højeste risikovurdering, "Hot News", med en CVSS-score (Common Vulnerability Scoring System) på 9,8.
Angribere kan udnytte sårbarhederne til at overtage kontrollen med applikationen, sætte systemet ud af drift eller afvikle kommandoer.
SAP har lukket sikkerhedshullet sammen med 15 andre i firmaets april-rettelser.
Fire af rettelserne har fået den næsthøjeste risikovurdering. Sårbarhederne findes i SAP Business One, Visual Composer og Business Objects.
Af Torben B. Sørensen, 20/03/18
Ingen af marts måneds sikkerhedsrettelser fra SAP lukker kritiske huller, men flere af sårbarhederne udgør en høj risiko.
Det gælder blandt andet sårbarheder i SAP Internet Graphics Server, der har fået en CVSS-score (Common Vulnerability Scoring System) på 8,8 ud af 10.
De fleste sårbarheder er af typen, hvor der mangler en kontrol af autorisation. Dem er der seks af, mens fem handler om afsløring af fortrolig information.
Der er fire sårbarheder af typen cross-site scripting og tre tilfælde af SQL-indsætning.
Af Torben B. Sørensen, 22/11/17
Softwarehuset SAP har udsendt 32 opdateringer fordelt på 22 SAP Security Patch Day Notes og 10 Support Package Notes.
Tre af opdateringerne fjerner kritiske sårbarheder. De er alle opdateringer til tidligere udsendte rettelser.
Blandt de sårbare produkter Text Conversion, LaMa, LVM, SAP Management Console og NetWeaver Java Workflow.
Rettelserne blev udsendt den 14. november.
Test og installer opdateringerne.
Af Torben B. Sørensen, 11/10/17
Oktober måneds sikkerhedsrettelser fra SAP lukker 30 sikkerhedshuller. Ingen af dem har fået firmaets højeste risikovurdering, fem har fået den næsthøjeste.
Den alvorligste sårbarhed findes i SAP NetWeaver AS Java Web Container, den har fået en CVSS-score (Common Vulnerability Scoring System) på 7,7.
De øvrige sårbarheder findes i blandt andet SAP Standalone Enqueue Server, SAP Mobile Platform, SAP ERP Funds Management Account Assignments og Adobe Document Services.
Test og installer sikkerhedsopdateringerne fra SAP.
Af Torben B. Sørensen, 13/09/17
September måneds sikkerhedsrettelser fra SAP består af 23 SAP Security Patch Day Notes og 10 Support Package Notes. Tre af dem har fået SAP's næsthøjeste risikovurdering, mens ingen har den højeste.
Den alvorligste sårbarhed har fået en CVSS-score (Common Vulnerability Scoring System) på 8,1.
Sårbarheder af typen cross-site scripting var de mest udbredte. Manglende tjek af autorisationer var på en andenplads.
Opdater til en rettet version af de berørte applikationer.
Af Torben B. Sørensen, 09/08/17
Ingen af sårbarhederne har fået SAP's højeste risikovurdering, men to har fået den næsthøjeste.
Cross-site scripting er den hyppigste sårbarhedstype, den optræder i fem af rettelserne.
De alvorligste sårbarheder findes i NetWeaver AS Java Web Container, SAP Visual Composer 04s iviews og BusinessObjects.
Test og installer opdateringerne.
Af Torben B. Sørensen, 14/06/17
Opdateringerne består af 21 SAP Security Patch Day Notes og otte Support Package Notes.
De to alvorligste sårbarheder har en CVSS-score (Common Vulnerability Scoring System) på 7,5. De findes i BILaunchPad and Central Management Console og SAP NetWeaver Instance Agent Service.
Opdateringer kan hentes via SAP's support-portal.
Opdater de berørte produkter.
Af Torben B. Sørensen, 14/03/17
Sårbarheden i SAP HANA har fået en CVSS-score (Common Vulnerability Scoring System) på 9,8. En angriber kan udnytte den til at få fuld kontrol over data i systemet. Intet tyder på, at sårbarheden har været anvendt til angreb i praksis.
Blandt marts måneds øvrige rettelser er en til SAP GUI-klienten. Den giver mulighed for at afvikle skadelige programkode. Ifølge sikkerhedsfirmaet ERPScan kan sårbarheden ramme millioner af slutbrugere.
Otte af rettelserne fik SAP's næsthøjeste risikovurdering, 21 var vurderet til moderat og fem til lav risiko.
Af Torben B. Sørensen, 23/02/17
Syv regnes for høj risiko, mens de øvrige 15 udgør en mellemhøj risiko.
Fem af sårbarhederne handler om manglende kontrol af autorisering. Fire er cross-site scripting-sårbarheder.
Månedens alvorligste sårbarhed er i SAP Netweaver Data Orchestration. Manglende autorisationstjek kan give uvedkommende adgang til systemet.
Flere alvorlige sårbarheder findes i SAP HANA. De kan få systemet til at gå ned.
Sikkerhedsrettelserne blev udsendt den 14. februar.
Installer opdateringerne fra SAP.
