SK-CERT Bezpečnostné varovanie V20210216-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
9.9
Identifikátor
Dve kritické bezpečnostné zraniteľnosti v produktoch SAP
Popis
Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých dve sú označované ako kritické.
Najzávažnejšia bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
10.02.2021
CVE
CVE-2019-0337, CVE-2019-0388, CVE-2020-26832, CVE-2021-21444, CVE-2021-21446, CVE-2021-21465, CVE-2021-21468, CVE-2021-21472, CVE-2021-21474, CVE-2021-21475, CVE-2021-21476, CVE-2021-21477, CVE-2021-21478
IOC
Zasiahnuté systémy
SAP Commerce vo verzii 1808
SAP Commerce vo verzii 1811
SAP Commerce vo verzii 1905
SAP Commerce vo verzii 2005
SAP Commerce vo verzii 2011
SAP Business Warehouse vo verzii 710
SAP Business Warehouse vo verzii 711
SAP Business Warehouse vo verzii 730
SAP Business Warehouse vo verzii 731
SAP Business Warehouse vo verzii 740
SAP Business Warehouse vo verzii 750
SAP Business Warehouse vo verzii 751
SAP Business Warehouse vo verzii 752
SAP Business Warehouse vo verzii 753
SAP Business Warehouse vo verzii 754
SAP Business Warehouse vo verzii 755
SAP Business Warehouse vo verzii 782
SAP NetWeaver AS ABAP vo verzii 2011_1_620
SAP NetWeaver AS ABAP vo verzii 2011_1_640
SAP NetWeaver AS ABAP vo verzii 2011_1_700
SAP NetWeaver AS ABAP vo verzii 2011_1_710
SAP NetWeaver AS ABAP vo verzii 2011_1_730
SAP NetWeaver AS ABAP vo verzii 2011_1_731
SAP NetWeaver AS ABAP vo verzii 2011_1_752
SAP NetWeaver AS ABAP vo verzii 740
SAP NetWeaver AS ABAP vo verzii 750
SAP NetWeaver AS ABAP vo verzii 751
SAP NetWeaver AS ABAP vo verzii 752
SAP NetWeaver AS ABAP vo verzii 753
SAP NetWeaver AS ABAP vo verzii 754
SAP NetWeaver AS ABAP vo verzii 755
SAP S4 HANA vo verzii 101
SAP S4 HANA vo verzii 102
SAP S4 HANA vo verzii 103
SAP S4 HANA vo verzii 104
SAP S4 HANA vo verzii 105
SAP Software Provisioning Manager 1.0
SAP NetWeaver Process Integration vo verzii 7.10
SAP NetWeaver Process Integration vo verzii 7.11
SAP NetWeaver Process Integration vo verzii 7.30
SAP NetWeaver Process Integration vo verzii 7.31
SAP NetWeaver Process Integration vo verzii 7.40
SAP NetWeaver Process Integration vo verzii 7.50
SAP Business Objects Business Intelligence Platform vo verzii 410
SAP Business Objects Business Intelligence Platform vo verzii 420
SAP Business Objects Business Intelligence Platform vo verzii 430
SAP UI5 vo verzii 1.38.49
SAP UI5 vo verzii 1.52.49
SAP UI5 vo verzii 1.60.34
SAP UI5 vo verzii 1.71.31
SAP UI5 vo verzii 1.78.18
SAP UI5 vo verzii 1.84.5
SAP UI5 vo verzii 1.85.4
SAP UI5 vo verzii 1.86.1
SAP Web Dynpro ABAP všetky verzie
SAP UI vo verzii staršej ako 7.54 (vrátane)
SAP UI 700 vo verzii 2.0
SAP HANA Database vo verzii 1.0
SAP HANA Database vo verzii 2.0
SAP NetWeaver Master Data Management Server vo verzii 710
SAP NetWeaver Master Data Management Server vo verzii 710.750
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://threatpost.com/sap-commerce-critical-security-bug/163822/
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543

« Späť na zoznam