2020年7月14日,SAP官方发布了7月份安全补丁更新。公告中修复了SAP NetWeaver AS JAVA(LM Configuration Wizard)高危漏洞(CVE-2020-6287),CVSS评分为10,易利用且影响较大。未经身份验证的攻击者可利用该漏洞获取目标SAP系统管理权限。建议广大用户尽快升级至最新版本,做好资产自查以及预防工作,以免遭受黑客攻击。
|
SAP NetWeaver AS JAVA是大多数SAP环境中的核心组件。该组件存在SAP多个产品中,包括SAP SCM、SAP CRM、SAP PI、SAP Enterprise Portal、SAP Solution Manager(SolMan)。该漏洞存在于SAP NetWeaver AS JAVA (LM Configuration Wizard)7.30、7.31、7.40以及7.50版本中,由于SAP NetWeaver AS Java web组件中缺少身份验证,未经身份验证的攻击者可通过创建具有最高特权的新SAP用户,绕过所有访问和授权控制,从而完全控制SAP系统。
|
SAP NetWeaver AS Java 7.30、7.31、7.40、7.50其中潜在受影响的SAP解决方案包括(但不限于):
- SAP Enterprise Resource Planning
- SAP Product Lifecycle Management
- SAP Customer Relationship Management
- SAP Supply Chain Management
- SAP Supplier Relationship Management
- SAP NetWeaver Business Warehouse
- SAP Business Intelligence
- SAP NetWeaver Mobile Infrastructure
- SAP Enterprise Portal
- SAP Process Orchestration/Process Integration
- SAP Solution Manager
- SAP NetWeaver Development Infrastructure
- SAP Central Process Scheduling
- SAP NetWeaver Composition Environment
- SAP Landscape Manager
|
|
(一)官方修复建议建议升级至最新版本:
https://launchpad.support.sap.com/#/notes/2934135
(二)缓解措施
如果目前无法升级最新版本,官方建议可通过禁用LM Configuration Wizard服务缓解该漏洞的影响。
|
转载请注明:XAMPP中文组官网 » SAP NetWeaver AS Java 高危漏洞预警