Több kritikus besorolású sérülékenységre is adott ki a márciusi frissítés keretében javítást az SAP. A 16 javítócsomagból három esik ebbe a kategóriába, sőt az egyik a legmagasabb, azaz 10-es CVSS (Common Vulnerability Scoring System) besorolást kapta.
A két legsúlyosabb kockázat a Solution Managerhez kötődik. CVSS szerinti 10-es besorolást kapott sérülékenység (CVE-2020-6207) a rendszerek központi felügyeletét biztosító alkalmazás User-Experience Monitoring részét érinti, a másik, 9,8 pontos besorolású sérülékenység (CVE-2020-6198) pedig a Diagnostics Agentet. Utóbbit, amelynek feladata a kommunikáció, a monitoring és a diagnosztikai visszajelzések kezelése, egyébként minden gazdagépre telepíteni kell a Solution Manager használatához.
A CVE-2020-6207 jelű sérülékenység alapértelmezett konfigurációk esetén használható ki. A nem hitelesített támadó távolról hajthat végre operációs rendszer parancsokat minden gazdagépen a Diagnostic Agent nevében. A támadó utána lényegében képes lesz kiaknázni a többi sebezhetőséget is, így akár a teljes SAP-környezethez hozzá tud férni.
A CVE-2020-6198 jelű sérülékenységet kihasználva a potenciális támadó megkerülheti a hitelesítést. Így akkor is tud támadást idítani a hálózaton, aki nem rendelkezik Solution Manager-felhasználói jogosultsággal. Ezt a sérülékenység azért különösen veszélyes, mert kiaknázásához nem kellenek magas szintű jogosultságok.
Szintén magas CVSS-értékelést kapott az a NetWeaver UDDI Server összetevőben javított hiba (CVE-2020-6203), ami a könyvtárak elérési útvonalának validálásával függ össze.
Van más foltozandó rés is
Van négy súlyos biztonsági javítást is kiadott. Ezek közül a legfontosabbnak a CVE-2020-6208 jelű, amely a BusinessObjects üzleti intelligencia platformját, a Crystal Reportsot érinti. Ez a rés a jogosulatlan parancsfuttatástól az alkalmazás teljes lefagyasztásáig sokféleképpen kiaknázható. Ez a biztonsági rés csak azért kapott súlyos – és nem kritikus – besorolást, mert a támadónak felhasználói interakcióra is szüksége van a sikerhez.
Emellett kapott javítócsomagot többek között a Disclosure Management (CVE-2020-6209), valamint a BusinessObjects Mobile (CVE-2020-6196) – utóbbiban egy DoS támadásra lehetőséget küszöböltek ki.
Az SAP egy 2018 augusztusában kiadott javítócsomagjához is adott frissítést, aminek telepítésével az SAP MaxDB/liveCache-ben lehet kiküszöbölni az SQL-befecskendezésre épülő támadásokat. A javítások keretében az SAP javította az SAP Business Clienthez adott Google Chromium böngészővezérlőt is, amely így már a böngészőt a február elején kiadott 80-as verzióra frissíti.
A frissítésekről részletes elemzést készítettek az SAP és Oracle rendszerek biztonságára specializálódott Onapsis kutatói.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak