SK-CERT Bezpečnostné varovanie V20201019-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
10.0 |
| Identifikátor |
| SAP produkty – viacero zraniteľností |
| Popis |
| Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero zraniteľností, z ktorých 1 je klasifikovaná ako kritická. Kritickú bezpečnostnú zraniteľnosť v produktoch SAP Solution Manager a SAP Focused Run by vzdialený neautentifikovaný útočník mohol zneužiť na vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému. Zraniteľnosti v ostatných produktoch by útočník mohol zneužiť na eskaláciu privilégií, vykonanie škodlivého kódu a získanie prístupu k citlivým údajom. |
| Dátum prvého zverejnenia varovania |
| 14.10.2020 |
| CVE |
| CVE-2020-6236, CVE-2020-6237, CVE-2020-6272, CVE-2020-6296, CVE-2020-6301, CVE-2020-6308, CVE-2020-6309, CVE-2020-6315, CVE-2020-6319, CVE-2020-6323, CVE-2020-6362, CVE-2020-6363, CVE-2020-6364, CVE-2020-6365, CVE-2020-6366, CVE-2020-6367, CVE-2020-6368, CVE-2020-6369, CVE-2020-6370, CVE-2020-6371, CVE-2020-6372, CVE-2020-6373, CVE-2020-6374, CVE-2020-6375, CVE-2020-6376 |
| IOC |
| – |
| Zasiahnuté systémy |
| AP Business Client verzie 6.5 AP Solution Manager (CA Introscope Enterprise Manager) verzie verzie WILY_INTRO_ENTERPRISE 9.7, 10.1, 10.5, 10.7 SAP Focused Run (CA Introscope Enterprise Manager) verzie WILY_INTRO_ENTERPRISE 9.7, 10.1, 10.5, 10.7 SAP 3D Visual Enterprise Viewer verzie 9 SAP Adaptive Extensions verzie 1.0 SAP Banking Services verzie 500 SAP Business Objects Business Intelligence Platform verzie 4.1, 4.2 SAP Business Planning and Consolidation verzie 750, 751, 752, 753, 754, 755, 810, 100, 200 SAP BusinessObjects Business Intelligence Platform (Web Services) verzie 410, 420, 430 SAP Commerce Cloud verzie 1808, 1811, 1905, 2005 SAP ERP (HCM Travel Management) verzie 600, 602, 603, 604, 605, 606, 607, 608 SAP Landscape Management verzie 3.0 SAP NetWeaver (ABAP Server) a ABAP Platform verzie 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753, 755 SAP NetWeaver (DI Design Time Repository) verzie 7.11, 7.30, 7.31, 7.40, 7.50 SAP NetWeaver AS JAVA (ENGINEAPI verzie 7.10, 7.10; WSRM verzie 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 and J2EE-FRMW verzie 7.10, 7.11) SAP NetWeaver Application Server ABAP (POWL test application) verzie 710, 711, 730, 731, 740, 750 SAP NetWeaver Application Server Java verzie 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 SAP NetWeaver Composite Application Framework verzie 7.20, 7.30, 7.31, 7.40, 7.50 SAP NetWeaver Enterprise Portal (Fiori Framework Page) verzie 7.50, 7.31, 7.40 |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Neoprávnený prístup k citlivým údajom Eskalácia privilégií |
| Odporúčania |
| Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli viesť k úniku citlivých údajov, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
| Zdroje |
| https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196 |
« Späť na zoznam
