SK-CERT Bezpečnostné varovanie V20201116-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
10.0 |
Identifikátor |
Viacero kritických zraniteľností v produktoch SAP |
Popis |
Vývojári zo spoločnosti SAP vydali bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero kritických bezpečnostných zraniteľností. Najzávažnejšia kritická zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému neautentifikovanému útočníkovi vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
11.11.2020 |
CVE |
CVE-2019-0230, CVE-2019-0233, CVE-2020-26807, CVE-2020-26808, CVE-2020-26809, CVE-2020-26810, CVE-2020-26811, CVE-2020-26814, CVE-2020-26815, CVE-2020-26817, CVE-2020-26818, CVE-2020-26819, CVE-2020-26820, CVE-2020-26821, CVE-2020-26822, CVE-2020-26823, CVE-2020-26824, CVE-2020-26825, CVE-2020-6207, CVE-2020-6284, CVE-2020-6311, CVE-2020-6316 |
IOC |
– |
Zasiahnuté systémy |
SAP Solution Manager (JAVA stack), vo verzii 7.2 SAP Solution Manager (User Experience Monitoring), vo verzii 7.2 SAP Data Services, vo verziách 4.2 SAP AS ABAP(DMIS), vo verziách 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020 SAP S4 HANA(DMIS), vo verziách 101, 102, 103, 104, 105 SAP NetWeaver AS JAVA, vo verziách 7.20, 7.30, 7.31, 7.40, 7.50 SAP NetWeaver (Knowledge Management); vo verziách 7.30, 7.31, 7.40, 7.50 SAP Fiori Launchpad (News Tile Application), vo verziách 750,751,752,753,754,755 SAP Commerce Cloud, vo verziách 1808,1811,1905,2005 SAP Commerce Cloud (Accelerator Payment Mock), vo verziách 1808, 1811, 1905, 2005 SAP NetWeaver AS ABAP, vo verziách 731, 740, 750, 751, 752, 753, 754, 755, 782 BANKING SERVICES FROM SAP 9.0(Bank Analyzer), vo verzii 500 S/4HANA FIN PROD SUBLDGR, vo verzii 100 SAP Process Integration (PGP Module – Business-to-Business Add On), vo verzii 1.0 SAP ERP Client for E-Bilanz 1.0, vo verzii 1.0 SAP ERP, vo verziách 600, 602, 603, 604, 605, 606, 616, 617, 618 SAP S/4 HANA, vo verziách 100, 101, 102, 103, 104 SAP 3D Visual Enterprise Viewer, vo verziách 9 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Zneprístupnenie služby Neoprávnený prístup k citlivým údajom |
Odporúčania |
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľnosti, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=562725571 |
« Späť na zoznam