Publicerad: 2020-03-13 14:45

Flera kritiska sårbarheter i SAP-produkter

SAP har publicerat 16 säkerhetsuppdateringar, varav tre klassas som kritiska. Dessutom finns två uppdateringar till tidigare patchar, varav en kritisk. [1]

De kritiska sårbarheterna visar bland annat på brister i autentiseringen i Solution Manager, som tillhandahåller den centrala hanteringen för såväl SAP som icke-SAP-system.

Den första, CVE-2020-6207, har klassats som den allra högsta nivån (nivå 10) på CVSS-skalan och påverkar funktionen User Experience Monitoring. Om standardkonfigurationen används kan kommandon utföras genom ett angrepp på distans. Angriparen kan sedan utnyttja andra sårbarheter för att potentiellt få tillgång till hela SAP-miljön. [2]

Den andra, CVE-2020-6198, har en CVSS-klassning på 9.8 och påverkar Diagnostics Agent. Genom att utnyttja denna sårbarhet kan en angripare kringgå autentiseringen, vilket innebär att vem som helst med tillgång till nätverket kan initiera ett angrepp, även om den inte är en giltig användare av Solution Manager. [3]

SAP har också åtgärdat en kritisk brist i NetWeaver UDDI Server, CVE-2020-6203. Problemet orsakas av felaktig validering av sökvägen som erbjuds när UDDI-innehåll (universal description, discovery and integration, ett system för listning av tjänster) importeras via Services Registry. Bristen kan leda till att angriparen tillskansar sig otillåten tillgång till kataloger som användaren saknar rättigheter till. Denna sårbarhet har nivån 9.1 på den tiogradiga CVSS-skalan. [4]

Slutligen finns en ny uppdatering av webbläsarkontrollen Google Chromium, som levereras med SAP Business Client. Uppdateringen gäller version 80, som släpptes i början av februari med korrigeringsfiler för 56 sårbarheter. [5]

Påverkade produkter

Solution Manager (User Experience Monitoring, version 7.2 samt Diagnostics Agent, version 7.2)
NetWeaver UDDI Server (Services Registry, versionerna 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 samt 7.50)
Business Client (version 6.5)

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter.

Källor

[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6207

[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6198

[4] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6203

[5] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2024-04-18 16:25

Oracles kvartalsvisa säkerhetsuppdatering för april 2024

Oracle har publicerat sina kvartalsvisa säkerhetsuppdateringar för april. Säkerhetsuppdateringarna berör ett stort antal produkter. Totalt publiceras...

Sårbarhet Oracle
2024-04-18 15:16

Allvarlig sårbarhet i Cisco IMC

En sårbarhet i CLI (command line interface) i Cisco IMC möjliggör för en autentiserad användare att...

Sårbarhet Cisco
2024-04-18 14:00 Uppdaterad Blixtmeddelande

BM24-002 Kritisk sårbarhet i PAN-OS

Palo Alto varnar om en kritisk sårbarhet i PAN-OS. Sårbarheten har fått maximal CVSS-klassning, 10 av...

Blixtmeddelande PAN-OS Palo Alto
2024-04-17 14:15

Kritiska sårbarheter i Ivanti Avalance

Ivanti har rättat flera sårbarheter i Avalanche, varav två bedöms som kritiska. De kan kan orsaka...

Sårbarhet Ivanti Avalanche
2024-04-16 09:15

Kritisk sårbarhet i PuTTY

En sårbarhet har rättats i PuTTY som gör det möjligt för en angripare att under vissa...

Sårbarhet PuTTY

Nyheter