?SAP 本周宣布發(fā)布 12 個新的和更新的安全說明，作為 2023 年 1 月安全補丁日的一部分，其中包括 7 個解決嚴重漏洞的“熱點新聞”說明。

被評為“熱點新聞”的安全說明中有四個是SAP 書中嚴重程度最高的安全說明，它們是解決 Business Planning and Consolidation MS、BusinessObjects 和 NetWeaver 中漏洞的新說明，而其余三個是對 2022 年 11 月和 2022 年 12 月發(fā)布的說明的更新.

最嚴重的新說明解決了 Business Planning and Consolidation MS 中的 SQL 注入錯誤（CVE-2023-0016，CVSS 得分為 9.9），以及 BusinessObjects 商業(yè)智能平臺中的代碼注入缺陷（CVE-2023-0022，CVSS 9.9 分）。

根據(jù)企業(yè)安全公司 Onapsis 的說法，這些問題中的第一個可以被利用來在易受攻擊的應(yīng)用程序中執(zhí)行精心設(shè)計的數(shù)據(jù)庫查詢，從而允許攻擊者讀取、修改或刪除任意數(shù)據(jù)。

可以通過網(wǎng)絡(luò)利用代碼注入漏洞，從而影響應(yīng)用程序的機密性、完整性和可用性。

“該說明包含針對無法立即提供此補丁的客戶的補丁和解決方法。但是，此解決方法只能用作臨時解決方案，因為它會刪除、停止或禁用受影響的服務(wù)，” Onapsis 解釋道。

其余新的“熱點新聞”說明解決了 NetWeaver AS for Java 中的不當訪問控制錯誤（CVE-2023-0017，CVSS 評分為 9.4）以及 NetWeaver AS for ABAP 和 ABAP 平臺中的捕獲重放漏洞（CVE-2023 -0014，CVSS 得分為 9.0）。

通過利用第一個問題，未經(jīng)身份驗證的攻擊者可以訪問和修改用戶數(shù)據(jù)并使系統(tǒng)服務(wù)不可用。

捕獲重放錯誤影響受信任的 RFC 和 HTTP 通信的架構(gòu)，允許攻擊者獲得對 SAP 系統(tǒng)的未授權(quán)訪問。

Onapsis 表示，緩解該漏洞可能具有挑戰(zhàn)性，因為它涉及應(yīng)用“內(nèi)核補丁、ABAP 補丁以及所有受信任的 RFC 和 HTTP 目標的手動遷移”。

SAP 還更新了三個“熱點新聞”說明，解決了 BusinessObjects 中不受信任的數(shù)據(jù)缺陷的不安全反序列化 (CVE-2022-41203) 和 NetWeaver 中的兩個不當訪問控制問題（CVE-2022-4127 和 CVE-2022-41271）。

在 SAP 的 1 月安全補丁日發(fā)布的其余五份說明解決了 Host Agent (Windows)、NetWeaver、BusinessObjects 和銀行賬戶管理（管理銀行）中的中等嚴重漏洞。

原文：https://www.securityweek.com/saps-first-security-updates-2023-resolve-critical-vulnerabilities