[Warning] Kritische Sicherheitslücke in SAP NetWeaver AS Java - Patches verfügbar
Thomas Pribitzer
pribitzer at cert.at
Tue Jul 14 15:11:33 CEST 2020
14. Juli 2020
Beschreibung
SAP hat einen Patch zur Behebung einer kritischen Sicherheitslücke in
der Komponente LM Configuration Wizard des SAP NetWeaver Application
Server Java veröffentlicht.
CVE-Nummer: CVE-2020-6287
CVSS Base Score: 10.0
Auswirkungen
Ein erfolgreicher Angriff ermöglicht entfernten, unauthentifizierten
AngreiferInnen potentiell das Anlegen eines SAP-Benutzers mit maximalen
Zugriffsrechten sowie das Ausführen von Befehlen mit den Rechten des
SAP-Service-Accounts im darunterliegenden Betriebssystem.
Betroffene Systeme
Diese Sicherheitslücke betrifft potentiell alle SAP-Anwendungen die auf
SAP NetWeaver Java AS Version 7.3 bis einschließlich Version 7.5 laufen.
Abhilfe
Einspielen der entsprechenden Updates/Patches, auch Systeme welche nicht
aus öffentlichen Netzwerken erreichbar sind sollten gepatcht werden.
AnwenderInnen, denen ein Upgrade auf eine nicht verwundbare Version
derzeit nicht möglich ist, wird geraten den LM Configuration Wizard zu
deaktivieren.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
_______________________________________________________________________________________
Informationsquelle(n):
CISA Alert AA20-195A (englisch)
https://us-cert.cisa.gov/ncas/alerts/aa20-195a
Meldung auf heise.de
https://www.heise.de/security/meldung/Patchday-Kritische-Sicherheitsluecke-bedroht-40-000-SAP-Kunden-4843322.html
SAP Security Patch Day Notes (englisch)
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675
________________________________________________________________________________________
--
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 718
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20200714/7fa02bc1/attachment.sig>
More information about the Warning
mailing list