A legmagasabb besorolást kapott sérülékenységek mellett egyéb javítások is érkeztek a német vállalattól.

Több kritikus besorolású sérülékenységre is adott ki a márciusi frissítés keretében javítást az SAP. A 16 javítócsomagból három esik ebbe a kategóriába, sőt az egyik a legmagasabb, azaz 10-es CVSS (Common Vulnerability Scoring System) besorolást kapta.

A két legsúlyosabb kockázat a Solution Managerhez kötődik. CVSS szerinti 10-es besorolást kapott sérülékenység (CVE-2020-6207) a rendszerek központi felügyeletét biztosító alkalmazás User-Experience Monitoring részét érinti, a másik, 9,8 pontos besorolású sérülékenység (CVE-2020-6198) pedig a Diagnostics Agentet. Utóbbit, amelynek feladata a kommunikáció, a monitoring és a diagnosztikai visszajelzések kezelése, egyébként minden gazdagépre telepíteni kell a Solution Manager használatához.

A CVE-2020-6207 jelű sérülékenység alapértelmezett konfigurációk esetén használható ki. A nem hitelesített támadó távolról hajthat végre operációs rendszer parancsokat minden gazdagépen a Diagnostic Agent nevében. A támadó utána lényegében képes lesz kiaknázni a többi sebezhetőséget is, így akár a teljes SAP-környezethez hozzá tud férni.

A CVE-2020-6198 jelű sérülékenységet kihasználva a potenciális támadó megkerülheti a hitelesítést. Így akkor is tud támadást idítani a hálózaton, aki nem rendelkezik Solution Manager-felhasználói jogosultsággal. Ezt a sérülékenység azért különösen veszélyes, mert kiaknázásához nem kellenek magas szintű jogosultságok.

Szintén magas CVSS-értékelést kapott az a NetWeaver UDDI Server összetevőben javított hiba (CVE-2020-6203), ami a könyvtárak elérési útvonalának validálásával függ össze.

Van más foltozandó rés is

Van négy súlyos biztonsági javítást is kiadott. Ezek közül a legfontosabbnak a CVE-2020-6208 jelű, amely a BusinessObjects üzleti intelligencia platformját, a Crystal Reportsot érinti. Ez a rés a jogosulatlan parancsfuttatástól az alkalmazás teljes lefagyasztásáig sokféleképpen kiaknázható. Ez a biztonsági rés csak azért kapott súlyos – és nem kritikus –  besorolást, mert a támadónak felhasználói interakcióra is szüksége van a sikerhez.

Emellett kapott javítócsomagot többek között a Disclosure Management (CVE-2020-6209), valamint a BusinessObjects Mobile (CVE-2020-6196) – utóbbiban egy DoS támadásra lehetőséget küszöböltek ki.

Az SAP egy 2018 augusztusában kiadott javítócsomagjához is adott frissítést, aminek telepítésével az SAP MaxDB/liveCache-ben lehet kiküszöbölni az SQL-befecskendezésre épülő támadásokat. A javítások keretében az SAP javította az SAP Business Clienthez adott Google Chromium böngészővezérlőt is, amely így már a böngészőt a február elején kiadott 80-as verzióra frissíti.

A frissítésekről részletes elemzést készítettek az SAP és Oracle rendszerek biztonságára specializálódott Onapsis kutatói.

Biztonság

Bűncselekmények gyanújával készült feljelentés a KRÉTA-rendszer ügyében

A 2019-ig visszatekintő kormányzati átvilágítás "gyanús mintázatot" talált, ennek nyomán pedig 40 oldalas feljelentés készült a KRÉTA, a Neptun és az állami iratkezelők 100 milliárd forintot is meghaladó kifizetésit illetően.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.