Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Set 15, 2023 Marina Londei In evidenza, News, Prodotto, RSS, Vulnerabilità 0
In occasione del Security Patch Day di settembre, SAP ha reso pubbliche tredici nuove note di sicurezza e cinque aggiornamenti a note precedenti. Tra le note ne figurano cinque classificare come “Hot News” dalla compagnia, ovvero di livello critico.
Le cinque Hot News comprendono due nuove vulnerabilità entrambe con classificazione CVSS di 9.9 su 10. La prima, la CVE-2023-40622, è un bug di tipo “Information Disclosure” che colpisce la BusinessObjects Business Intelligence Platform (Promotion Management) nelle versioni 420 e 430.
La vulnerabilità consente a un attaccante di accedere a informazioni sensibili che normalmente sono sotto accesso ristretto. Il cybercriminale è in grado di compromettere la confidenzialità, l’integrità e la disponibilità dell’intera applicazione.
Come spiegano i ricercatori di Onapsis, la vulnerabilità risiede nel componente Promotion Management. Come workaround, SAP consiglia di fornire i diritti di accesso solo all’utente designato all’uso del tool.
La seconda vulnerabilità, la CVE-2023-40309, colpisce la libreria CommonCryptoLib per la crittografia. La libreria non esegue i controlli di autenticazione necessari e ciò può portare a un’escalation dei privilegi. In base al livello di privilegi acquisito, un attaccante può essere ni grado di leggere, modificare e cancellare dati normalmente soggetti a restrizioni di accesso; nel caso peggiore, può compromettere il funzionamento di un’intera applicazione.
In questo caso i prodotti affetti dal bug sono NetWeaver AS ABAP, NetWeaver AS Java, la piattaforma ABAP Platform di S/4HANA on -premise, Web Dispatcher, Content Server, HANA Database, Host Agent, SAPSSOEXT e Extended Application Services and Runtime nelle versioni specificate dal vendor.
SAP ha invitato i propri utenti ad aggiornare il prima possibile i prodotti colpiti con le patch ufficiali.
Delle restanti note, nove sono considerate a rischio medio, con CVSS compreso tra 5.3 e 6.3, e due a rischio basso, con CVSS di 2.7 e 3.5.
Apr 22, 2024 0
Apr 22, 2024 0
Apr 16, 2024 0
Apr 11, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...