Aggiornamenti recenti Dicembre 12th, 2024 4:12 PM
Set 15, 2023 Marina Londei In evidenza, News, Prodotto, RSS, Vulnerabilità 0
In occasione del Security Patch Day di settembre, SAP ha reso pubbliche tredici nuove note di sicurezza e cinque aggiornamenti a note precedenti. Tra le note ne figurano cinque classificare come “Hot News” dalla compagnia, ovvero di livello critico.
Le cinque Hot News comprendono due nuove vulnerabilità entrambe con classificazione CVSS di 9.9 su 10. La prima, la CVE-2023-40622, è un bug di tipo “Information Disclosure” che colpisce la BusinessObjects Business Intelligence Platform (Promotion Management) nelle versioni 420 e 430.
La vulnerabilità consente a un attaccante di accedere a informazioni sensibili che normalmente sono sotto accesso ristretto. Il cybercriminale è in grado di compromettere la confidenzialità, l’integrità e la disponibilità dell’intera applicazione.
Come spiegano i ricercatori di Onapsis, la vulnerabilità risiede nel componente Promotion Management. Come workaround, SAP consiglia di fornire i diritti di accesso solo all’utente designato all’uso del tool.
La seconda vulnerabilità, la CVE-2023-40309, colpisce la libreria CommonCryptoLib per la crittografia. La libreria non esegue i controlli di autenticazione necessari e ciò può portare a un’escalation dei privilegi. In base al livello di privilegi acquisito, un attaccante può essere ni grado di leggere, modificare e cancellare dati normalmente soggetti a restrizioni di accesso; nel caso peggiore, può compromettere il funzionamento di un’intera applicazione.
In questo caso i prodotti affetti dal bug sono NetWeaver AS ABAP, NetWeaver AS Java, la piattaforma ABAP Platform di S/4HANA on -premise, Web Dispatcher, Content Server, HANA Database, Host Agent, SAPSSOEXT e Extended Application Services and Runtime nelle versioni specificate dal vendor.
SAP ha invitato i propri utenti ad aggiornare il prima possibile i prodotti colpiti con le patch ufficiali.
Delle restanti note, nove sono considerate a rischio medio, con CVSS compreso tra 5.3 e 6.3, e due a rischio basso, con CVSS di 2.7 e 3.5.
Nov 25, 2024 0
Nov 21, 2024 0
Nov 18, 2024 0
Ott 30, 2024 0
Dic 12, 2024 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 12, 2024 0
Il team di sicurezza di Oasis ha scoperto una...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...