Vulnerabilidade crítica do SAP Patches no CA Introscope Enterprise Manager
As atualizações lançadas pela SAP para outubro de 2020 incluem 15 notas de segurança, incluindo uma que aborda uma vulnerabilidade crítica. Seis notas de segurança do Patch Day lançadas anteriormente foram atualizadas.
Apresentando uma pontuação CVSS de 10, a falha crítica é uma vulnerabilidade de injeção de comando do sistema operacional que afeta o CA Introscope Enterprise Manager versão 10.7.0.304 ou inferior (produtos afetados incluem Solution Manager e Focused Run). O bug é rastreado como CVE-2020-6364.
Um invasor capaz de explorar a vulnerabilidade pode injetar comandos do sistema operacional e obter controle total do host no qual o CA Introscope Enterprise Manager está sendo executado. A falha é explorada remotamente, sem a autenticação, o que contribui para a sua pontuação elevada CVSS, Onapsis, uma empresa especializada na obtenção Oracle e aplicações SAP, explica .
Os clientes SAP são aconselhados a “corrigir o Introscope Enterprise Manager para o nível de patch mais alto do Enterprise Manager 10.7”, diz Onapsis.
A SAP lançou um patch para o Enterprise Manager 10.5.2.113 e todos os releases anteriores precisam ser atualizados para esta versão para aplicar a correção. No entanto, com o esforço de atualização semelhante à atualização para a versão 10.7 e com a 10.5 chegando ao fim do suporte em dezembro de 2020, ir direto para a 10.7 é a melhor opção.
Uma segunda vulnerabilidade abordada no CA Introscope Enterprise Manager neste mês é CVE-2020-6369 (pontuação CVSS de 7,5). As credenciais codificadas no aplicativo podem ser exploradas por atacantes remotos para contornar a autenticação.
Os patches disponíveis para o Enterprise Manager 10.5 e 10.7 forçam os usuários a definir novas credenciais para as contas Admin e Convidado em suas instalações. A correção também requer que a conexão entre o Solution Manager / Focused Run e o Introscope seja restaurada manualmente.
Uma outra Nota de Segurança Hot News lançada em outubro de 2020 Patch Day traz atualizações para o navegador Chromium no SAP Business Client. A nota de segurança foi lançada inicialmente em abril de 2018 e a SAP fornece atualizações periódicas para ela.
Dois patches de alta prioridade este mês abordam CVE-2020-6367, um problema de criptografia de citações cruzadas (XSS) no NetWeaver Composite Application Framework, e CVE-2020-6366, falta de validação de XML no NetWeaver (Compare Systems).
A SAP também atualizou quatro notas de segurança de alta prioridade que lidam com uma falha de injeção de código (CVE-2020-6296) no NetWeaver (ABAP) e na plataforma ABAP, verificação de autorização ausente (CVE-2020-6309) no NetWeaver AS JAVA, divulgação de informações (CVE -2020-6237) em Business Objects Business Intelligence Platform e escalonamento de privilégios (CVE-2020-6236) em Landscape Management.
Onze outras notas de segurança lidam com vulnerabilidades de prioridade média: vários bugs no 3D Visual Enterprise Viewer, falsificação de solicitação do lado do servidor no BusinessObjects Business Intelligence, tabnabbing reverso no NetWeaver, divulgação de informações no NetWeaver, autorização incorreta em Banking Services e XSS no NetWeaver, Commerce Cloud e Business Planning and Consolidation.
O Patch Day de outubro de 2020 da SAP inclui uma atualização para uma nota de segurança de média prioridade que trata de uma verificação de autorização ausente no ERP (HCM Travel Management) e uma nota que trata de um problema de expiração de sessão insuficiente de gravidade baixa no Commerce Cloud.
Fonte: https://www.securityweek.com/sap-patches-critical-vulnerability-ca-introscope-enterprise-manager
