Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker junior IT-säkerhetsspecialist och deskmedarbetare hos CERT-SE, centrala roller i arbetet med att utveckla Sveriges förmåga att hantera it-incidenter. Sista ansökningsdag är den 8 augusti.

Publicerad - Sårbarhet, SAP, Patch-Tuesday

Kritiska sårbarheter i SAP-produkter

SAP varnar om kritiska sårbarheter i bland annat Commerce samt SAP NetWeaver ABAP Server och ABAP Platform i sin månatliga säkerhetsuppdatering för juni månad. Säkerhetsuppdateringen hanterar totalt 17 sårbarheter, varav två är mycket kritiska. Dessa har fått 9.9 respektive 9 av 10 på CVSS-skalan [1].

CVE-2021-27602 SAP Commerce är en uppdaterad patch från april [2].
Sårbarheten kan utnyttjas av en auktoriserad angripare för att injicera och fjärrköra skadlig kod vilket kan äventyra programmets konfidentialitet, integritet och tillgänglighet.

CVE-2021-27610 SAP NetWeaver AS ABAP och ABAP Platform, orsakad av fel när ABAP-server inte korrekt identifierar om kommunikation via RFC eller HTTP sker mellan applikationsservrarna i samma SAP-system eller med servrar utanför samma system. En angripare kan med stulna kontouppgifter för externa RFC- eller HTTP-anrop, upprätta en anslutning till det drabbade SAP-systemet, där ett skadligt externt program låtsas vara ett internt anrop [3].

Påverkade produkter

Säkerhetsuppdateringen berör bland annat följande produkter:

SAP Commerce 
SAP NetWeaver ABAP Server och ABAP Platform 
SAP NetWeaver AS för JAVA

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999
[2] https://www.cert.se/2021/04/kritiska-sarbarheter-i-sap-produkter
[3] https://www.securityweek.com/sap-patches-critical-vulnerabilities-netweaver