SK-CERT Bezpečnostné varovanie V20210216-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.9 |
Identifikátor |
Dve kritické bezpečnostné zraniteľnosti v produktoch SAP |
Popis |
Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých dve sú označované ako kritické. Najzávažnejšia bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
10.02.2021 |
CVE |
CVE-2019-0337, CVE-2019-0388, CVE-2020-26832, CVE-2021-21444, CVE-2021-21446, CVE-2021-21465, CVE-2021-21468, CVE-2021-21472, CVE-2021-21474, CVE-2021-21475, CVE-2021-21476, CVE-2021-21477, CVE-2021-21478 |
IOC |
– |
Zasiahnuté systémy |
SAP Commerce vo verzii 1808 SAP Commerce vo verzii 1811 SAP Commerce vo verzii 1905 SAP Commerce vo verzii 2005 SAP Commerce vo verzii 2011 SAP Business Warehouse vo verzii 710 SAP Business Warehouse vo verzii 711 SAP Business Warehouse vo verzii 730 SAP Business Warehouse vo verzii 731 SAP Business Warehouse vo verzii 740 SAP Business Warehouse vo verzii 750 SAP Business Warehouse vo verzii 751 SAP Business Warehouse vo verzii 752 SAP Business Warehouse vo verzii 753 SAP Business Warehouse vo verzii 754 SAP Business Warehouse vo verzii 755 SAP Business Warehouse vo verzii 782 SAP NetWeaver AS ABAP vo verzii 2011_1_620 SAP NetWeaver AS ABAP vo verzii 2011_1_640 SAP NetWeaver AS ABAP vo verzii 2011_1_700 SAP NetWeaver AS ABAP vo verzii 2011_1_710 SAP NetWeaver AS ABAP vo verzii 2011_1_730 SAP NetWeaver AS ABAP vo verzii 2011_1_731 SAP NetWeaver AS ABAP vo verzii 2011_1_752 SAP NetWeaver AS ABAP vo verzii 740 SAP NetWeaver AS ABAP vo verzii 750 SAP NetWeaver AS ABAP vo verzii 751 SAP NetWeaver AS ABAP vo verzii 752 SAP NetWeaver AS ABAP vo verzii 753 SAP NetWeaver AS ABAP vo verzii 754 SAP NetWeaver AS ABAP vo verzii 755 SAP S4 HANA vo verzii 101 SAP S4 HANA vo verzii 102 SAP S4 HANA vo verzii 103 SAP S4 HANA vo verzii 104 SAP S4 HANA vo verzii 105 SAP Software Provisioning Manager 1.0 SAP NetWeaver Process Integration vo verzii 7.10 SAP NetWeaver Process Integration vo verzii 7.11 SAP NetWeaver Process Integration vo verzii 7.30 SAP NetWeaver Process Integration vo verzii 7.31 SAP NetWeaver Process Integration vo verzii 7.40 SAP NetWeaver Process Integration vo verzii 7.50 SAP Business Objects Business Intelligence Platform vo verzii 410 SAP Business Objects Business Intelligence Platform vo verzii 420 SAP Business Objects Business Intelligence Platform vo verzii 430 SAP UI5 vo verzii 1.38.49 SAP UI5 vo verzii 1.52.49 SAP UI5 vo verzii 1.60.34 SAP UI5 vo verzii 1.71.31 SAP UI5 vo verzii 1.78.18 SAP UI5 vo verzii 1.84.5 SAP UI5 vo verzii 1.85.4 SAP UI5 vo verzii 1.86.1 SAP Web Dynpro ABAP všetky verzie SAP UI vo verzii staršej ako 7.54 (vrátane) SAP UI 700 vo verzii 2.0 SAP HANA Database vo verzii 1.0 SAP HANA Database vo verzii 2.0 SAP NetWeaver Master Data Management Server vo verzii 710 SAP NetWeaver Master Data Management Server vo verzii 710.750 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://threatpost.com/sap-commerce-critical-security-bug/163822/ https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543 |
« Späť na zoznam