Kriittinen haavoittuvuus SAP NetWeaverissa
Haavoittuvuus23/2020
SAP on julkaissut kriittisen korjauspäivityksen SAP NetWeaver Application Server (AS) Java -ohjelmiston LM Configuration Wizard -komponenttiin. Haavoittuvuus mahdollistaa järjestelmän haltuunoton verkon yli tunnistautumatta HTTP-rajapintaa käyttäen.
Haavoittuvuus koskee SAP-palveluita, jotka käyttävät SAP NetWeaver AS Java -ohjelmiston versioita välillä 7.3 - 7.5.
Haavoittuvuuteen on 16.7 julkaistu todennettu hyväksikäyttömenetelmä, joten päivitykset on suoritettava välittömästi.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Tietojen muokkaaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot
Haavoittuva komponentti esiintyy lukuisten SAP-tuotteiden osana:
- SAP Enterprise Resource Planning
- SAP Product Lifecycle Management
- SAP Customer Relationship Management
- SAP Supply Chain Management
- SAP Supplier Relationship Management
- SAP NetWeaver Business Warehouse
- SAP Business Intelligence
- SAP NetWeaver Mobile Infrastructure
- SAP Enterprise Portal
- SAP Process Orchestration/Process Integration
- SAP Solution Manager
- SAP NetWeaver Development Infrastructure
- SAP Central Process Scheduling
- SAP NetWeaver Composition Environment
- SAP Landscape Manager
Ratkaisu- ja rajoitusmahdollisuudet
Valmistaja on julkaissut 14.7. päivityksen, jossa se suosittaa päivittämään ensin internet-kytkentäiset SAP-palvelut, ja tämän jälkeen sisäverkossa olevat palvelut.
Haavoittuvuutta voidaan rajoittaa poistamalla haavoittuva LM Configuration Wizard -komponentti käytöstä (lisätietoja tiedotteesta https://launchpad.support.sap.com/#/notes/2939665 (Ulkoinen linkki)).
Päivitys 17.7
Haavoittuvuuteen on 16.7 julkaistu hyväksikäyttömenetelmä. Aktiiviset skannaukset tähän haavoittuvuuteen ovat lisääntyneet maailmalla, joten päivitykset on suoritettava välittömästi.
Lisätietoja
Lisätty tiedot haavan hyväksikäyttömenetelmästä ja lisätty linkki.