SAP NetWeaver AS Java 严重漏洞 (CVE-2020-6287) 安全通告
2020-07-15
综述
当地时间2020年7月13日,SAP发布安全更新表示,修复了一个存在于SAP NetWeaver AS Java(LM配置向导)7.30至7.50版本中的严重漏洞CVE-2020-6287。
漏洞缘于SAP NetWeaver AS for Java Web组件中缺少身份验证,因此允许攻击者在受影响的SAP系统上进行高特权活动。
如果被成功利用,则未经身份验证的远程攻击者可以通过创建具有最大特权的新SAP用户,绕过所有访问和授权控制,从而完全控制SAP系统。
CVSS 3.0评分10
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H。
参考链接:
https://us-cert.cisa.gov/ncas/alerts/aa20-195a
受影响产品
SAP NetWeaver AS JAVA (LM 配置向导) Versions = 7.30, 7.31, 7.40, 7.50
潜在易受攻击的SAP业务解决方案包括(但不限于):
SAP Enterprise Resource Planning(ERP),
SAP Product Lifecycle Management,
SAP Customer Relationship Management,
SAP Supply Chain Management(SCM),
SAP Supplier Relationship Management,
SAP NetWeaver Business Warehouse,
SAP Business Intelligence,
SAP NetWeaver Mobile Infrastructure,
SAP Enterprise Portal,
SAP Process Orchestration/Process Integration,
SAP Solution Manager,
SAP NetWeaver Development Infrastructure,
SAP Central Process Scheduling,
SAP NetWeaver Composition Environment, and
SAP Landscape Manager.
解决方案
官方已为受影响组件发布了补丁。强烈建议相关客户立即安装更新。
https://launchpad.support.sap.com/
无法立即修补的组织应通过禁用LM配置向导服务来缓解该漏洞(请参阅SAP安全说明#2939665)。
https://launchpad.support.sap.com/#/notes/2939665
如果这些选项都不可用,或者操作将花费超过24小时才能完成,则建议密切监视SAP NetWeaver AS的异常活动。
官方安全更新:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675
声 明
本安全公告仅用来描述可能存在的安全问题,海王捕鱼不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海王捕鱼以及安全公告作者不为此承担任何责任。海王捕鱼拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经海王捕鱼允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于海王捕鱼
海王捕鱼集团股份有限公司(简称海王捕鱼)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,海王捕鱼在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
海王捕鱼集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:海王捕鱼,股票代码:300369。
