「威胁通告」SAP NetWeaver AS Java 严重漏洞 (CVE-2020-6287)
2020-07-14 19:38:20 Author: blog.nsfocus.net(查看原文) 阅读量:464 收藏

阅读: 41

综述

当地时间2020年7月13日,SAP发布安全更新表示,修复了一个存在于SAP NetWeaver AS Java(LM配置向导)7.30至7.50版本中的严重漏洞CVE-2020-6287。

漏洞缘于SAP NetWeaver AS for Java Web组件中缺少身份验证,因此允许攻击者在受影响的SAP系统上进行高特权活动。

如果被成功利用,则未经身份验证的远程攻击者可以通过创建具有最大特权的新SAP用户,绕过所有访问和授权控制,从而完全控制SAP系统。

CVSS 3.0评分10

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H。

参考链接:

https://us-cert.cisa.gov/ncas/alerts/aa20-195a

受影响产品

  • SAP NetWeaver AS JAVA (LM 配置向导) Versions = 7.30, 7.31, 7.40, 7.50

潜在易受攻击的SAP业务解决方案包括(但不限于):

  • SAP Enterprise Resource Planning(ERP)
  • SAP Product Lifecycle Management
  • SAP Customer Relationship Management
  • SAP Supply Chain Management(SCM)
  • SAP Supplier Relationship Management
  • SAP NetWeaver Business Warehouse
  • SAP Business Intelligence
  • SAP NetWeaver Mobile Infrastructure
  • SAP Enterprise Portal
  • SAP Process Orchestration/Process Integration
  • SAP Solution Manager
  • SAP NetWeaver Development Infrastructure
  • SAP Central Process Scheduling
  • SAP NetWeaver Composition Environment
  • SAP Landscape Manager

解决方案

官方已为受影响组件发布了补丁。强烈建议相关客户立即安装更新。

https://launchpad.support.sap.com/

无法立即修补的组织应通过禁用LM配置向导服务来缓解该漏洞(请参阅SAP安全说明#2939665)。

https://launchpad.support.sap.com/#/notes/2939665

如果这些选项都不可用,或者操作将花费超过24小时才能完成,则建议密切监视SAP NetWeaver AS的异常活动。

官方安全更新:

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675

Spread the word. Share this post!


文章来源: http://blog.nsfocus.net/sap-netweaver-as-java-0714/
如有侵权请联系:admin#unsafe.sh