9月8日,SAP發布了產品安全公告更新。根據安全公告顯示,SAP產品中發現了多個高危漏洞。其中一些允許攻擊者遠程執行任意代碼以及繞過安全策略,需要儘快升級。以下是漏洞詳情:
漏洞詳情
1.安全策略繞過高危漏洞(CVE-2020-6207) CVSS評分:10 危急
SAP Solution Manager 是SAP公司一套集系統監控,SAP支持桌面,自助服務,ASAP實施等多個功能為一體的系統管理平臺。
SAP Solution Manager 7.2版本存在此漏洞,主要原因是SAP解決方案管理存在缺少認證檢查。由於缺少身份驗證檢查,SAP解決方案管理器(用戶體驗監控)版本7.2不對服務執行任何身份驗證,從而繞過安全策略導致完全破壞了連接到解決方案管理器的所有SMDAgent(SMD agent提供監聽和處理P4協議的接口,屬於專有SAP協議,使用此接口可獲取一些版本和配置信息,用於配置已安裝程序,安裝/刪除應用程式)。
2.信息洩露漏洞(CVE-2018-2398) CVSS評分:9.8 高危
SAP Business Client是SAP公司的一款用戶管理界面。該產品為不同的SAP業務應用程式提供管理接口,用於管理SAP產品。SAP Business Client 6.5版本中存在安全漏洞。攻擊者可利用該漏洞訪問被限制的信息。
3.不當訪問控制SAP Marketing(CVE-2020-6320) CVSS評分:9.6 高危
SAP Marketing是SAP公司可用於市場營銷功能的一種工具軟體,可在雲和本地上運行,並且具有可幫助企業克服上述挑戰的功能和工具。雲解決方案可在更短的時間內以最少的投資輕鬆設置。商業用戶可以使用雲解決方案快速進入市場。
SAP Marketing(Servlet)版本130,140,150,允許經過身份驗證的攻擊者調用某些受限制的功能。攻擊者需要有效載荷的有限知識才能利用此漏洞並執行與聯繫和交互數據有關的任務,從而影響應用程式中數據的機密性和完整性。
4.SAP NetWeaver(ABAP伺服器)和ABAP平臺代碼注入漏洞(CVE-2020-6318 ) CVSS評分:9.1 高危
SAP NetWeaver 是SAP公司基於專業標準的集成化應用平臺,能夠大幅度降低系統整合的複雜性。其組件包括門戶、應用伺服器、商務智能解決方案以及系統整合和數據整合技術。
ABAP是高級業務應用程式編程,4GL(第4代)語言。 目前,它與Java一起被定位為SAP應用伺服器編程的主要語言。
SAP NetWeaver(ABAP伺服器)和ABAP平臺版本-700、701、702、710、711、730、731、740、750、751、753、755,允許攻擊者注入可以由應用程式執行的代碼,導致代碼注入。因此,攻擊者可以控制應用程式的行為。
受影響產品及版本
SAP Solution Manager (User Experience Monitoring) version 7.2
SAP Business Client version 6.5
SAP Marketing (Mobile Channel Servlet) versions 130, 140 et 150
SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753 et 755
SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754
BANKING SERVICES FROM SAP 9.0 (Bank Analyzer) version 500
S/4HANA FIN PROD SUBLDGR version 100
SAP Commerce versions 6.7, 1808, 1811, 1905 et 2005
SAP NetWeaver AS ABAP (BSP Test Application) versions 700,701,702,730,731,740,750,751,752,753,754 et 755
SAPUI5 (UISAPUI5_JAVA) version 7.50
SAPUI5 (SAP_UI) versions 750, 751, 752, 753, 754 et 755
SAPUI5 (UI_700) version 200
SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
SAP NetWeaver (Knowledge Management) versions 7.30,7.31,7.40 et 7.50
SAP Business Objects Business Intelligence Platform (BI Workspace) versions 4.1 et 4.2
SAPFiori (Launchpad) versions 750, 752, 753, 754 et 755
SAP 3D Visual Enterprise Viewer version 9
SAP Adaptive Server Enterprise versions 15.7 et 16.0
解決方案
SAP產品安全響應團隊修復了SAP產品中發現的漏洞。SAP強烈建議客戶訪問Support Portal(支持門戶)並優先應用補丁程序以保護其SAP環境。Support Portal官網地址:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html#section_370125364
查看更多漏洞信息 以及升級請訪問官網:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=557449700