Haavoittuvuus23/2020
SAP on julkaissut kriittisen korjauspäivityksen SAP NetWeaver Application Server (AS) Java -ohjelmiston LM Configuration Wizard -komponenttiin. Haavoittuvuus mahdollistaa järjestelmän haltuunoton verkon yli tunnistautumatta HTTP-rajapintaa käyttäen.
Haavoittuvuus koskee SAP-palveluita, jotka käyttävät SAP NetWeaver AS Java -ohjelmiston versioita välillä 7.3 - 7.5.
Haavoittuvuuteen on 16.7 julkaistu todennettu hyväksikäyttömenetelmä, joten päivitykset on suoritettava välittömästi.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Tietojen muokkaaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Haavoittuva komponentti esiintyy lukuisten SAP-tuotteiden osana:
- SAP Enterprise Resource Planning
- SAP Product Lifecycle Management
- SAP Customer Relationship Management
- SAP Supply Chain Management
- SAP Supplier Relationship Management
- SAP NetWeaver Business Warehouse
- SAP Business Intelligence
- SAP NetWeaver Mobile Infrastructure
- SAP Enterprise Portal
- SAP Process Orchestration/Process Integration
- SAP Solution Manager
- SAP NetWeaver Development Infrastructure
- SAP Central Process Scheduling
- SAP NetWeaver Composition Environment
- SAP Landscape Manager
Mistä on kysymys?
Valmistaja on julkaissut 14.7. päivityksen, jossa se suosittaa päivittämään ensin internet-kytkentäiset SAP-palvelut, ja tämän jälkeen sisäverkossa olevat palvelut.
Haavoittuvuutta voidaan rajoittaa poistamalla haavoittuva LM Configuration Wizard -komponentti käytöstä (lisätietoja tiedotteesta https://launchpad.support.sap.com/#/notes/2939665 (Ulkoinen linkki)).
Päivitys 17.7
Haavoittuvuuteen on 16.7 julkaistu hyväksikäyttömenetelmä. Aktiiviset skannaukset tähän haavoittuvuuteen ovat lisääntyneet maailmalla, joten päivitykset on suoritettava välittömästi.
Mitä voin tehdä?
Lisätty tiedot haavan hyväksikäyttömenetelmästä ja lisätty linkki.