Patchday: SAP overbrugt onder andere de authenticatiekloof
SAP heeft een aantal kwetsbaarheden in zijn software gepatcht. Om systemen te beschermen tegen mogelijke aanvallen, moeten SAP-programmabeheerders beschikbare beveiligingspatches installeren.
Meerdere veiligheidslekken
In het beveiligingsgedeelte van de SAP-website De fabrikant van bedrijfsbeheersoftware somt acht nieuwe kwetsbaarheden op en vijf updates voor oude. De gevaarlijkste is de XSS-kwetsbaarheid (CVE-2023-33991″)hoog“) in de UI-variabelemanager.
Bij een XSS-aanval plaatsen aanvallers kwaadaardige code in een zogenaamd veilige context. Door de kwetsbaarheid – en het daaruit voortvloeiende gebrek aan verificatie – kunnen zij toegangsgegevens uit webbrowsers lezen. In dit geval is de risicovollere optie: een opgeslagen XSS-kwetsbaarheid. In dit geval kan de schadelijke code bijvoorbeeld permanent op de server staan, zodat deze wordt uitgevoerd telkens wanneer het slachtoffer deze oproept.
SAP Factory Connection en Production Connector voor SAP Digital Manufacturing met authenticatiefouten (CVE-2023-2827″hoog”) en aanvallers kunnen serviceverzoeken naar het programma sturen.
Aanvallers kunnen XSS-aanvallen uitvoeren op bijvoorbeeld SAP CRM ABAP en SAP NetWeaver. Kwetsbaarheden zijn meestal gerelateerd aan het dreigingsniveau.”middenEr is bijgewerkte beveiligingsinformatie beschikbaar voor onder andere SAP BusinessObjects en SAP S/4HANA.
(naar)
“Coffee fanatic. Gamer. Award-winning zombie aficionado. College student. Hardcore internet proponent. Twitter guru. Subtly charming bacon nerd. Thinker.”