SK-CERT Bezpečnostné varovanie V20200316-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
10.0 |
Identifikátor |
Kritické zraniteľnosti v SAP produktoch |
Popis |
Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje produkty, ktoré opravujú viacero bezpečnostných zraniteľností. Najzávažnejšie kritické bezpečnostné zraniteľnosti v produkte SAP Solution Manager sú spôsobené nedostatočnou implementáciou bezpečnostných a autentifikačných mechanizmov a umožňujú vzdialenému, neautentifikovanému útočníkovi získať úplnú kontrolu nad systémom. |
Dátum prvého zverejnenia varovania |
10.03.2020 |
CVE |
CVE-2018-2450, CVE-2020-6178, CVE-2020-6196, CVE-2020-6197, CVE-2020-6198, CVE-2020-6199, CVE-2020-6200, CVE-2020-6201, CVE-2020-6202, CVE-2020-6203, CVE-2020-6204, CVE-2020-6205, CVE-2020-6206, CVE-2020-6207, CVE-2020-6208, CVE-2020-6209, CVE-2020-6210 |
IOC |
– |
Zasiahnuté systémy |
SAP Solution Manager verzia 7.2 SAP Business Client verzia 6.5 SAP NetWeaver UDDI Server (Services Registry) verzie 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 SAP Business Objects Business Intelligence Platform (Crystal Reports) verzie 4.1, 4.2 SAP Disclosure Management verzia 10.1 SAP BusinessObjects Mobile (MobileBIService) verzia 4.2 SAP MaxDB (liveCache) verzie 7.8, 7.9 SAP Commerce Cloud (Testweb Extension) verzie 6.6, 6.7, 1808, 1811, 1905 SAP NetWeaver AS ABAP Business Server Pages (Smart Forms) – SAP_BASIS verzie 7.00, 7.01, 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54 SAP NetWeaver Application Server Java (User Management Engine) verzie 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 SAP Commerce Cloud (SmartEdit Extension) verzie 6.6, 6.7, 1808, 1811 SAP ERP (EAPPGLO) verzie 607 SAP Enable Now verzie staršie ako 1911 SAP Fiori Launchpad verzie 753, 754 SAP Treasury and Risk Management (Transaction Management) verzie EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618, 800, S4CORE 101, 102, 103, 104 SAP Cloud Platform Integration for Data Services verzia 1.0 SAP Enable Now verzie straršie ako 1908 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Neoprávnený prístup do systému Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme |
Odporúčania |
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305 |
« Späť na zoznam