Beveiligingsadvies NCSC-2024-0333 [1.00] [M/H] Kwetsbaarheden verholpen in SAP producten

Kwetsbaarheden Opgelost in SAP-producten

Het Nationaal Cyber Security Centrum (NCSC) heeft informatie beschikbaar gesteld over de recent verholpen kwetsbaarheden in diverse producten van SAP. Deze advisories zijn ontworpen om bedrijven te informeren en te beschermen tegen mogelijke bedreigingen door beveiligingslekken in de software.

Publicatie Overzicht

De onderstaande tabel biedt een overzicht van de recente veiligheidsadviezen gepubliceerd door het NCSC. De tabel bevat informatie over de datum van publicatie, de impactscore en de schade potentieel van de kwetsbaarheden. Hiernaast zijn links beschikbaar naar gedetailleerde advisories in verschillende formaten, inclusief Signed-PGP, CSAF en PDF.

Publicatie Kans Schade Beschrijving
vandaag medium high NCSC-2024-0333

Verholpen Kwetsbaarheden

De verholpen kwetsbaarheden omvatten verschillende beveiligingsproblemen zoals:

  • Loop with Unreachable Exit Condition (Infinite Loop): Dit probleem kan een systeem vastzetten door continue herhaling van een onbereikbaar bereik binnen een lus.
  • Improper Access Control: Onvoldoende toegangscontrole kan ongeautoriseerde gebruikers toegang geven tot gevoelige gegevens.
  • XML Injection (Blind XPath Injection): Kwaadwillenden kunnen via deze kwetsbaarheid ongeautoriseerde toegang of wijzigingen in XML-documenten verkrijgen.
  • Incorrect Type Conversion or Cast: Onjuiste type conversie kan leiden tot corruptie van gegevens of systeemcrashes.
  • Unrestricted Upload of File with Dangerous Type: Bestanden met gevaarlijke inhoud kunnen worden geüpload zonder voldoende verificatie.
  • Improper Input Validation: Onvoldoende validatie van ingevoerde gegevens kan leiden tot veiligheidsproblemen.
  • Missing Authorization: Ontbrekende autorisatiechecks kunnen toegang geven aan onbevoegden.
  • Improper Neutralization of Input During Web Page Generation (Cross-site Scripting): Onvoldoende ontsmetting van gebruikersinvoer kan leiden tot XSS-aanvallen.
  • Server-Side Request Forgery (SSRF): Een aanvaller kan het systeem misleiden om verzoeken te versturen naar ongeautoriseerde locaties.
  • Exposure of Sensitive Information to an Unauthorized Actor: Gevoelige informatie kan blootgesteld worden aan onbevoegde partijen.
  • Use After Free: Deze fout kan leiden tot onbedoeld gedrag van het systeem of exploitatie door kwaadwillenden.

Beschrijvingen

SAP heeft deze kwetsbaarheden geïdentificeerd en verholpen in diverse producten zoals SAP Business Objects, SAP HANA, NetWeaver en Document Builder. Kwaadwillenden kunnen deze kwetsbaarheden misbruiken om verschillende soorten aanvallen uit te voeren, wat kan leiden tot:

  • Server-Side Request Forgery (SSRF)
  • Cross-Site Scripting (XSS)
  • Omzeilen van authenticatie
  • Omzeilen van beveiligingsmaatregelen
  • Manipulatie van gegevens
  • Ongeoorloofde toegang tot gevoelige gegevens

Bereik

De getroffen platforms, producten, en versies zijn uitgebreid gedocumenteerd. Een selectie van deze versies omvat:

  • SAP BusinessObjects Business Intelligence Platform
  • SAP Commerce Backoffice
  • SAP Document Builder
  • SAP Student Lifecycle Management
  • Diverse versies van SAP NetWeaver

Voor een volledige lijst, zie de gedetailleerde advisories.

Oplossingen

SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Gebruikers wordt aangeraden de updates zo snel mogelijk toe te passen om hun systemen te beveiligen. Raadpleeg de SAP Security Notes voor gedetailleerde informatie.

CVE’s

Een aantal van de verholpen kwetsbaarheden zijn geïdentificeerd met CVE-nummers, waaronder:

Voor een volledige lijst van CVE’s en meer gedetailleerde informatie, raadpleeg de officiële bronnen op CVE-website.

Vrijwaring

Bij het gebruik van deze security advisory gaat u akkoord met de volgende voorwaarden. Het NCSC heeft de grootst mogelijke zorg besteed aan de samenstelling van dit advies, maar kan niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit ervan. Deze informatie is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan dit advies kunnen geen rechten worden ontleend en het NCSC en de Staat zijn niet aansprakelijk voor enige schade voortvloeiende uit het gebruik of de onmogelijkheid van het gebruik van dit advies. Nederlands recht is van toepassing op dit beveiligingsadvies en mogelijke geschillen zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----