A legmagasabb besorolást kapott sérülékenységek mellett egyéb javítások is érkeztek a német vállalattól.
Hirdetés
 

Több kritikus besorolású sérülékenységre is adott ki a márciusi frissítés keretében javítást az SAP. A 16 javítócsomagból három esik ebbe a kategóriába, sőt az egyik a legmagasabb, azaz 10-es CVSS (Common Vulnerability Scoring System) besorolást kapta.

A két legsúlyosabb kockázat a Solution Managerhez kötődik. CVSS szerinti 10-es besorolást kapott sérülékenység (CVE-2020-6207) a rendszerek központi felügyeletét biztosító alkalmazás User-Experience Monitoring részét érinti, a másik, 9,8 pontos besorolású sérülékenység (CVE-2020-6198) pedig a Diagnostics Agentet. Utóbbit, amelynek feladata a kommunikáció, a monitoring és a diagnosztikai visszajelzések kezelése, egyébként minden gazdagépre telepíteni kell a Solution Manager használatához.

A CVE-2020-6207 jelű sérülékenység alapértelmezett konfigurációk esetén használható ki. A nem hitelesített támadó távolról hajthat végre operációs rendszer parancsokat minden gazdagépen a Diagnostic Agent nevében. A támadó utána lényegében képes lesz kiaknázni a többi sebezhetőséget is, így akár a teljes SAP-környezethez hozzá tud férni.

A CVE-2020-6198 jelű sérülékenységet kihasználva a potenciális támadó megkerülheti a hitelesítést. Így akkor is tud támadást idítani a hálózaton, aki nem rendelkezik Solution Manager-felhasználói jogosultsággal. Ezt a sérülékenység azért különösen veszélyes, mert kiaknázásához nem kellenek magas szintű jogosultságok.

Szintén magas CVSS-értékelést kapott az a NetWeaver UDDI Server összetevőben javított hiba (CVE-2020-6203), ami a könyvtárak elérési útvonalának validálásával függ össze.

Van más foltozandó rés is

Van négy súlyos biztonsági javítást is kiadott. Ezek közül a legfontosabbnak a CVE-2020-6208 jelű, amely a BusinessObjects üzleti intelligencia platformját, a Crystal Reportsot érinti. Ez a rés a jogosulatlan parancsfuttatástól az alkalmazás teljes lefagyasztásáig sokféleképpen kiaknázható. Ez a biztonsági rés csak azért kapott súlyos – és nem kritikus –  besorolást, mert a támadónak felhasználói interakcióra is szüksége van a sikerhez.

Emellett kapott javítócsomagot többek között a Disclosure Management (CVE-2020-6209), valamint a BusinessObjects Mobile (CVE-2020-6196) – utóbbiban egy DoS támadásra lehetőséget küszöböltek ki.

Az SAP egy 2018 augusztusában kiadott javítócsomagjához is adott frissítést, aminek telepítésével az SAP MaxDB/liveCache-ben lehet kiküszöbölni az SQL-befecskendezésre épülő támadásokat. A javítások keretében az SAP javította az SAP Business Clienthez adott Google Chromium böngészővezérlőt is, amely így már a böngészőt a február elején kiadott 80-as verzióra frissíti.

A frissítésekről részletes elemzést készítettek az SAP és Oracle rendszerek biztonságára specializálódott Onapsis kutatói.

Biztonság

Aki unatkozik otthon, segíthet pingvineket vagy galaxisokat figyelni

Ha valaki értelmes elfoglaltságot keres a koronavírus-járvány miatti szobafogságban, érdemes lehet körülnéznie a közösségi tudományos projektek között.
 
A magyar informatikai biztonsági piacon húsz éve meghatározó Balasys bejelentette, hogy 2020. márciusától az IT menedzsment piac globális gyártójaként ismert Quest portfóliójának disztribútora lett. Így, a One Identity mellett, már a Quest teljes termékpalettáját is értéknövelt disztribútorként és megoldásszállítóként képviseli.

a melléklet támogatója a Balasys

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.