Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Publicerad - Sårbarhet, SAP, Patch-Tuesday

Kritiska sårbarheter i SAP-produkter

SAP varnar om kritiska sårbarheter i bland annat Commerce samt SAP NetWeaver ABAP Server och ABAP Platform i sin månatliga säkerhetsuppdatering för juni månad. Säkerhetsuppdateringen hanterar totalt 17 sårbarheter, varav två är mycket kritiska. Dessa har fått 9.9 respektive 9 av 10 på CVSS-skalan [1].

CVE-2021-27602 SAP Commerce är en uppdaterad patch från april [2].
Sårbarheten kan utnyttjas av en auktoriserad angripare för att injicera och fjärrköra skadlig kod vilket kan äventyra programmets konfidentialitet, integritet och tillgänglighet.

CVE-2021-27610 SAP NetWeaver AS ABAP och ABAP Platform, orsakad av fel när ABAP-server inte korrekt identifierar om kommunikation via RFC eller HTTP sker mellan applikationsservrarna i samma SAP-system eller med servrar utanför samma system. En angripare kan med stulna kontouppgifter för externa RFC- eller HTTP-anrop, upprätta en anslutning till det drabbade SAP-systemet, där ett skadligt externt program låtsas vara ett internt anrop [3].

Påverkade produkter

Säkerhetsuppdateringen berör bland annat följande produkter:

SAP Commerce 
SAP NetWeaver ABAP Server och ABAP Platform 
SAP NetWeaver AS för JAVA

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999
[2] https://www.cert.se/2021/04/kritiska-sarbarheter-i-sap-produkter
[3] https://www.securityweek.com/sap-patches-critical-vulnerabilities-netweaver