Kritische Sicherheitslücke in SAP NetWeaver AS Java - Patches verfügbar

14. Juli 2020

Beschreibung

SAP hat einen Patch zur Behebung einer kritischen Sicherheitslücke in der Komponente LM Configuration Wizard des SAP NetWeaver Application Server Java veröffentlicht.

CVE-Nummern: CVE-2020-6287

CVSS Base Score: 10.0

Auswirkungen

Ein erfolgreicher Angriff ermöglicht entfernten, unauthentifizierten AngreiferInnen potentiell das Anlegen eines SAP-Benutzers mit maximalen Zugriffsrechten sowie das Ausführen von Befehlen mit den Rechten des SAP-Service-Accounts im darunterliegenden Betriebssystem.

Betroffene Systeme

Diese Sicherheitslücke betrifft potentiell alle SAP-Anwendungen die auf SAP NetWeaver Java AS Version 7.3  bis einschließlich Version 7.5 laufen.

Abhilfe

Einspielen der entsprechenden Updates/Patches, auch Systeme welche nicht aus öffentlichen Netzwerken erreichbar sind sollten gepatcht werden. AnwenderInnen denen ein Upgrade auf eine nicht verwundbare Version derzeit nicht möglich ist, wird geraten den LM Configuration Wizard zu deaktivieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

CISA Alert AA20-195A (englisch)
https://us-cert.cisa.gov/ncas/alerts/aa20-195a

Meldung auf heise.de
https://www.heise.de/security/meldung/Patchday-Kritische-Sicherheitsluecke-bedroht-40-000-SAP-Kunden-4843322.html

SAP Security Patch Day Notes (englisch)
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675