Önde gelen yazılım üreticilerinden SAP firmasının ürün güvenliğinden sorumlu ekip tarafından her ayın ikinci Salı gününde paylaşılan SAP Security Patch Day gönderisinde, Eylül ayında açıklanan 17 güvenlik zafiyetine yönelik detaylar açıklanmıştır. (Referans Linki)
- 2622660 güvenlik notuyla paylaşılan güvenlik güncellemesi, SAP Business Client ile birlikte gelen Google Chromium tarayıcısındaki kritik “Code Injection” zafiyetini gidermektedir.
- 3078609 güvenlik notuyla paylaşılan güvenlik güncellemesi, SAP NetWeaver Application Server Java ürünündeki CVE-2021-37535 kodu ile izlenen kritik “kullanıcı ayrıcalıkları için gerekli yetkilendirme kontrollerinin gerçekleştirilmesi” zafiyetini gidermektedir.
- 3071984 güvenlik notuyla paylaşılan güvenlik güncellemesi, SAP Business One ürünündeki CVE-2021-33698 kodu ile izlenen kritik “kısıtlanmamış dosya yükleme” zafiyetini gidermektedir.
- 3089831 güvenlik notuyla paylaşılan güvenlik güncellemesi, CVE-2021-389176 kodu ile izlenen, SAP NZDT Mapping Table Framework olarak adlandırılan ve sırasıyla aşağıdaki ürünleri etkileyen “SQL Injection” zafiyetini gidermektedir. Zafiyet, belirli ayrıcalıklara sahip kimliği doğrulanmış bir kullanıcının, manipüle edilmiş sorgular yürütmek için NZDT olarak adlandırılan işlevsellik modüllerini çağırmasıyla tetiklenmektedir.
- SAP S/4HANA, Sürüm – 1511, 1610, 1709, 1809, 1909, 2020, 2021
- SAP LT Replication Server, Sürüm – 2.0, 3.0
- SAP LTRS for S/4HANA, Sürüm – 1.0
- SAP Test Data Migration Server, Sürüm – 4.0
- SAP Landscape Transformation, Sürüm – 2.0
- 3084487 güvenlik notuyla paylaşılan güvenlik güncellemesi, SAP NetWeaver (Vİsual Composer 7.0 RT) 7.30, 7.31, 7.40 ve 7.50 sürümlerini etkileyen “kısıtlanmamış dosya yükleme” zafiyetini gidermektedir. CVE-2021-38163 kodu ile izlenen kritik zafiyet, kimliği doğrulanmış bir kullanıcı tarafından sisteme kötü amaçlı dosyanın yüklenmesiyle tetiklenmektedir.
- 3081888 güvenlik notuyla paylaşılan güvenlik güncellemesi, SAP NetWeaver Knowledge Management(XMLForms) 7.10, 7.11, 7.30, 7.31 ve 7.40 sürümlerini etkileyen “Code Injection” zafiyetini gidermektedir. CVE-2021-37531 kodu ile izlenen kritik zafiyet kimliği doğrulanmış sıradan bir kullanıcının, işletim sistemi düzeyinde çalıştırılabileceği kodları içeren zararlı XSL dosyası oluşturması ve bu dosyanın sistem tarafından erişilebilecek bir yere yerleştirilmesiyle tetiklenmektedir.
- 3073891 güvenlik notuyla paylaşılan güvenlik güncellemesi, SAP Contact Center 700 sürümünü etkileyen zararlı dosya çalıştırılmasına olanak veren zafiyeti gidermektedir. CVE-2021-33672 kodu ile izlenen kritik zafiyet, sohbet ortamında gönderilen mesajın alıcı tarafından kabul edilerek zararlı script dosyasının çalıştırılmasıyla tetiklenmektedir.
- 3080567 güvenlik notuyla paylaşılan güvenlik güncellemesi, SAP Web Dispatcher ürününün WEBDISP – 7.49, 7.53, 7.77, 7.81, KRNL64NUC – 7.22, 7.22EXT, 7.49, KRNL64UC -7.22, 7.22EXT, 7.49, 7.53, KERNEL – 7.22, 7.49, 7.53, 7.77, 7.81, 7.83 sürümlerini etkileyen “HTTP Request Smuggling” zafiyetini gidermektedir. Yüksek önem derecesine sahip CVE-2021-38162 kodu ile izlenen zafiyet kimliği doğrulanmamış bir tehdit aktörünün sunucuya özel olarak hazırlanmış istekler göndermesiyle ve sunucunun mesajları hatalı ayrıştırmasıyla tetiklenmektedir.
- 3051787 güvenlik notuyla paylaşılan güvenlik güncellemesi, SAP CommonCryptoLib ürününün 8.5.38 ve önceki sürümlerini etkileyen “Null Pointer Dereference” zafiyetini gidermektedir. Yüksek önem derecesine sahip CVE-2021-38177 kodu ile izlenen zafiyet özel olarak hazırlanmış ve zararlı veriler içeren HTTP isteklerinin, kimliği doğrulanmamış tehdit aktörleri tarafından gönderilmesiyle tetiklenmektedir.
Söz konusu zafiyetler kullanılarak meydana gelebilecek uzaktan kod çalıştırma, hassas bilgilerin açığa çıkması, zararlı yazılım/botnet ağına dahil olma gibi güvenlik ihlallerine maruz kalmamak adına SAP Ürün Güvenlik Ekibi tarafından sağlanan güncellemelerin önem seviyesi dikkate alınarak kısa sürede uygulanması tavsiye edilmektedir.