SAP セキュリティパッチデー 2024 年 1 月
このページでは、SAP 製品で発見された脆弱性を改善するセキュリティノートに関する情報を共有しています。SAP は、Support Portal ページにアクセスし、SAP ランドスケープを保護するために優先的にパッチを適用することを強くお奨めします。
2024 年 1 月 9 日に、SAP セキュリティパッチデーに 10 の新しいセキュリティノートがリリースされました。さらに、以前にリリースされたセキュリティノートには 2 つの更新があります。
Note# | Title | Severity | CVSS |
---|---|---|---|
[CVE-2023-49583] Escalation of Privileges in applications developed through SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA Library- @sap/xssec, Versions – < 3.6.0 Library- @sap/approuter, Versions – 14.4.2 | Hot News | ||
[Multiple CVEs] Escalation of Privileges in SAP Edge Integration Cell | Hot News | ||
Update to Security Note released on December 2023 Patch Day: [Multiple CVEs] Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries CVEs - CVE-2023-49583, CVE-2023-50422, CVE-2023-50423, CVE-2023-50424 Library- @sap/xssec, Versions – < 3.6.0 Library- cloud-security-services-integration-library, Versions – < 2.17.0 & from 3.0.0 before 3.3.0 Library- sap-xssec, Versions – < 4.1.0 Library- github.com/sap/cloud-security-client-go, Versions - < 0.17.0 | Hot News | ||
[CVE-2024-21737] Code Injection vulnerability in SAP Application Interface Framework (File Adapter) | High | ||
[CVE-2023-44487] Denial of service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application server ABAP, and ABAP Platform | High | ||
[CVE-2024-22125] Information Disclosure vulnerability in Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) | High | ||
[CVE-2024-21735] Improper Authorization check in SAP LT Replication Server | High | ||
[CVE-2024-21736] Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management) | Medium | ||
Update to Security Note released on July 2023 Patch Day: [CVE-2023-31405] Log Injection vulnerability in SAP NetWeaver AS for Java (Log Viewer) Product - SAP NetWeaver AS for Java (Log Viewer), Version - ENGINEAPI 7.50, SERVERCORE 7.50, J2EE-APPS 7.50 | Medium | ||
[CVE-2024-21738] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver ABAP Application Server and ABAP Platform | Medium | ||
[CVE-2024-22124] Information Disclosure vulnerability in SAP NetWeaver Internet Communication Manager | Medium | ||
[CVE-2024-21734] URL Redirection vulnerability in SAP Marketing (Contacts App) | Low |
今月のセキュリティパッチを提供してきたセキュリティ研究者や調査会社の詳細については、こちらをご覧ください。
過去のアーカイブブログは、こちらからご覧いただけます。
この投稿に関するコメントまたはフィードバックがある場合は、secure@sap.com 宛にご連絡ください。
SAP は、信頼できる製品とクラウドサービスの提供に尽力しています。安全な運用とデータの完全性を確保するには、安全な設定が不可欠です。そのため、SAP ポートフォリオに最適なセキュリティを設定できるように、この文書に統合されたセキュリティ推奨事項が文書化されています。