?SAP 本周宣布發(fā)布 12 個(gè)新的和更新的安全說明，作為 2023 年 1 月安全補(bǔ)丁日的一部分，其中包括 7 個(gè)解決嚴(yán)重漏洞的“熱點(diǎn)新聞”說明。

被評(píng)為“熱點(diǎn)新聞”的安全說明中有四個(gè)是SAP 書中嚴(yán)重程度最高的安全說明，它們是解決 Business Planning and Consolidation MS、BusinessObjects 和 NetWeaver 中漏洞的新說明，而其余三個(gè)是對 2022 年 11 月和 2022 年 12 月發(fā)布的說明的更新.

最嚴(yán)重的新說明解決了 Business Planning and Consolidation MS 中的 SQL 注入錯(cuò)誤（CVE-2023-0016，CVSS 得分為 9.9），以及 BusinessObjects 商業(yè)智能平臺(tái)中的代碼注入缺陷（CVE-2023-0022，CVSS 9.9 分）。

根據(jù)企業(yè)安全公司 Onapsis 的說法，這些問題中的第一個(gè)可以被利用來在易受攻擊的應(yīng)用程序中執(zhí)行精心設(shè)計(jì)的數(shù)據(jù)庫查詢，從而允許攻擊者讀取、修改或刪除任意數(shù)據(jù)。

可以通過網(wǎng)絡(luò)利用代碼注入漏洞，從而影響應(yīng)用程序的機(jī)密性、完整性和可用性。

“該說明包含針對無法立即提供此補(bǔ)丁的客戶的補(bǔ)丁和解決方法。但是，此解決方法只能用作臨時(shí)解決方案，因?yàn)樗鼤?huì)刪除、停止或禁用受影響的服務(wù)，” Onapsis 解釋道。

其余新的“熱點(diǎn)新聞”說明解決了 NetWeaver AS for Java 中的不當(dāng)訪問控制錯(cuò)誤（CVE-2023-0017，CVSS 評(píng)分為 9.4）以及 NetWeaver AS for ABAP 和 ABAP 平臺(tái)中的捕獲重放漏洞（CVE-2023 -0014，CVSS 得分為 9.0）。

通過利用第一個(gè)問題，未經(jīng)身份驗(yàn)證的攻擊者可以訪問和修改用戶數(shù)據(jù)并使系統(tǒng)服務(wù)不可用。

捕獲重放錯(cuò)誤影響受信任的 RFC 和 HTTP 通信的架構(gòu)，允許攻擊者獲得對 SAP 系統(tǒng)的未授權(quán)訪問。

Onapsis 表示，緩解該漏洞可能具有挑戰(zhàn)性，因?yàn)樗婕皯?yīng)用“內(nèi)核補(bǔ)丁、ABAP 補(bǔ)丁以及所有受信任的 RFC 和 HTTP 目標(biāo)的手動(dòng)遷移”。

SAP 還更新了三個(gè)“熱點(diǎn)新聞”說明，解決了 BusinessObjects 中不受信任的數(shù)據(jù)缺陷的不安全反序列化 (CVE-2022-41203) 和 NetWeaver 中的兩個(gè)不當(dāng)訪問控制問題（CVE-2022-4127 和 CVE-2022-41271）。

在 SAP 的 1 月安全補(bǔ)丁日發(fā)布的其余五份說明解決了 Host Agent (Windows)、NetWeaver、BusinessObjects 和銀行賬戶管理（管理銀行）中的中等嚴(yán)重漏洞。

原文：https://www.securityweek.com/saps-first-security-updates-2023-resolve-critical-vulnerabilities