SAP ปล่อยแพทช์ประจำเดือนเมษายน เพื่อแก้ไขเพิ่มเติมช่องโหว่เก่าทั้งหมด 6 รายการ และช่องโหว่ความรุนแรงสูง (High) ใน Crystal Report และ NetWeaver อีก 2 รายการ

ช่องโหว่ความรุนแรงสูง (High) ที่ถูกแพทช์รอบนี้ คือ ช่องโหว่ใน Crystal Report เกี่ยวกับการเปิดเผยข้อมูลของ system data, debugging information และข้อมูลอื่นๆ ของระบบโดยไม่ตั้งใจ (Information Disclosure) (CVE-2019-0285) และช่องโหว่ถัดมาเป็นปัญหาใน NetWeaver Java Application Server เป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถปลอมแปลงตนเองให้อยู่ในระบบเพื่อดักข้อมูลที่จะส่งมาเพื่อแสดงผลที่เครื่องผู้ใช้งาน (Spoofing Attack) (CVE-2019-0283)

นอกจากนี้ยังมีอัพเดตเพิ่มเติมเพื่อแก้ไขช่องโหว่เก่าอื่นๆ ได้แก่ ช่องโหว่การพิสูจน์สิทธิ์ผู้ใช้งาน (authorization) ใน SAP Enterprise Financial Service (CVE-2018-2484) ที่ได้รับการแก้ไขเมื่อเดือนมกราคม และช่องโหว่อื่นๆ ใน NetWeaver (CVE-2019-0265, CVE-2019-0282 และ CVE-2019-0278), ช่องโหว่ใน ABAP Platform (CVE-2019-0265, CVE-2019-0279) และช่องโหว่ใน SAP HANA (CVE-2019-0284) ที่ทำให้เกิด DoS และสามารถเข้าถึงไฟล์สำคัญในระบบ เพื่อขโมย code ได้

ที่มา : securityaffairs