A SAP publicou os patches de segurança de Maio, cobrindo seis problemas críticos em vários produtos – três problemas com uma pontuação de gravidade muito próxima do máximo

A SAP publicou seus patches de segurança de maio, resolvendo seis problemas críticos em vários de seus produtos. São 29 patches, que incluem seis notas de HotNews e sete de High Priority. Três dos problemas agora resolvidos têm uma pontuação de gravidade muito próxima do máximo. Os problemas abordados no patch são diferentes daqueles que a empresa abordou em um comunicado ao mercado na semana passada – eles afetam produtos baseados em nuvem e estão programados para receber correções antes do final do segundo trimestre deste ano.

Todas as falhas agora corrigidas, com exceção de uma, são exploráveis remotamente, não requerem interação do usuário e têm uma baixa complexidade de ataque. Mas nem todas são vulnerabilidades novas: uma delas é uma atualização de uma nota de segurança de abril de 2018. O ‘patch day de segurança’ de maio de 2020 da SAP contém quase duas dezenas de alertas para vários tipos de vulnerabilidades e metade deles são para erros críticos e de alta gravidade.

O mais grave deles está catalogado como CVE-2020-6262 e tem uma pontuação de gravidade de 9,9 numa escala que vai até 10. É uma vulnerabilidade de injeção de código no Download de Dados de Serviço e afeta várias versões do SAP‌ Application Server ABAP (2008_1_46C, 2008_1_620, 2008_1_600, 2008_1_700 , 2008_1_710, 740). A segunda falha mais grave é o CVE-2020-6242, com uma classificação de gravidade de 9,8. É uma falta de verificação de autenticação na Plataforma de Business Intelligence do SAP Business Objects (Live Data Connect), versões 1.0, 2.0, 2.X.

Uma atualização de segurança para o navegador Chromium fornecida com o cliente SAP Business também é listada como crítica (9.8), com base no CVSS (Common Vulnerability Scoring System) versão 3. Outra injeção de código foi abordada no servidor de backup do SAP® Adaptive Server Enterprise (ASE) versão 16.0. Identificado como CVE-2020-6248, sua gravidade é apontada como 9.1.

A mesma pontuação foi atribuída a uma atualização de uma nota de segurança no Patch Day de abril de 2020, registrada como CVE-2020-6219 – uma desserialização de dados não confiáveis ​​no SAP Business Objects Business Intelligence Platform (CR .Net SDK WebForm Viewer) versões 4.1 e 4.2 . Uma falha de divulgação de informações – CVE-2020-6252 (9.0) – na ferramenta de administração gráfica do SAP ASE, Cockpit, é a última na lista de vulnerabilidades críticas que a empresa elimina com os patches desta semana.

A SAP também abordou outras vulnerabilidades de segurança de alta e média gravidade que afetam o Adaptive Server Enterprise e alguns de seus componentes:

  • um bug de injeção SQL, CVE-2020-6241 (8.8)
  • uma injeção de código no servidor XP do SAP ASE na plataforma Windows, CVE-2020-6243 (8)
  • uma injeção de SQL que afeta os serviços web do SAP ASE, CVE-2020-6253 (7.2)
  • divulgação de informações, CVE-2020-6250 (6.8)
  • falta de verificação de autorização, CVE-2020-6259 (6.5)

Com agências internacionais

Fonte: CISO Advisor