Kriittinen haavoittuvuus SAP NetWeaverissa

Haavoittuvuus23/2020

SAP on julkaissut kriittisen korjauspäivityksen SAP NetWeaver Application Server (AS) Java -ohjelmiston LM Configuration Wizard -komponenttiin. Haavoittuvuus mahdollistaa järjestelmän haltuunoton verkon yli tunnistautumatta HTTP-rajapintaa käyttäen. 

Haavoittuvuus koskee SAP-palveluita, jotka käyttävät SAP NetWeaver AS Java -ohjelmiston versioita välillä 7.3 - 7.5. 
Haavoittuvuuteen on 16.7 julkaistu todennettu hyväksikäyttömenetelmä, joten päivitykset on suoritettava välittömästi.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Haavoittuva komponentti esiintyy lukuisten SAP-tuotteiden osana:

  • SAP Enterprise Resource Planning
  • SAP Product Lifecycle Management
  • SAP Customer Relationship Management
  • SAP Supply Chain Management
  • SAP Supplier Relationship Management
  • SAP NetWeaver Business Warehouse
  • SAP Business Intelligence
  • SAP NetWeaver Mobile Infrastructure
  • SAP Enterprise Portal
  • SAP Process Orchestration/Process Integration
  • SAP Solution Manager
  • SAP NetWeaver Development Infrastructure
  • SAP Central Process Scheduling
  • SAP NetWeaver Composition Environment
  • SAP Landscape Manager

Ratkaisu- ja rajoitusmahdollisuudet

Valmistaja on julkaissut 14.7. päivityksen, jossa se suosittaa päivittämään ensin internet-kytkentäiset SAP-palvelut, ja tämän jälkeen sisäverkossa olevat palvelut.

Haavoittuvuutta voidaan rajoittaa poistamalla haavoittuva LM Configuration Wizard -komponentti käytöstä (lisätietoja tiedotteesta https://launchpad.support.sap.com/#/notes/2939665 (Ulkoinen linkki)).

Päivitys 17.7

Haavoittuvuuteen on 16.7 julkaistu hyväksikäyttömenetelmä. Aktiiviset skannaukset tähän haavoittuvuuteen ovat lisääntyneet maailmalla, joten päivitykset on suoritettava välittömästi.

Lisätietoja

Lisätty tiedot haavan hyväksikäyttömenetelmästä ja lisätty linkki.