SAP ออกคำแนะนำด้าน Security 13 รายการ
Security Patch Day ของ SAP เดือนกุมภาพันธ์ 2563 มีการประกาศคำแนะนำด้าน Security ใหม่ 13 รายการ และอัปเดตคำแนะนำในอดีต 2 รายการ
คำแนะนำด้าน Security ใหม่ 13 รายการนี้มีความสำคัญ High 3 รายการ มีความสำคัญ Medium 10 รายการ โดยรายการที่ถูกอัปเดตในอดีตมีความสำคัญระดับ Hot New 1 รายการและ Medium อีก 1 รายการ
Hot News ดังกล่าว (คะแนน CVSS 9.8) เป็นการอัปเดตใน SAP Business Client ให้รองรับ Chromium ซึ่งเปิดตัวครั้งแรกใน Patch Day ใน เดือนเมษายน 2018
ช่องโหว่ความสำคัญ High แรกระบุถึงช่องโหว่ของ Denial of Service (DoS) ใน SAP Host Agent (CVE-2020-6186, คะเเนน CVSS 7.5) ปัญหานี้ส่งผลกระทบต่อการ Authentication ผู้ใช้งาน โดย SAP Host Agent มีการจัดการการโจมตีแบบ brute force ด้วยการหน่วงเวลา ซึ่งช่องโหว่ดังกล่าวเกิดจากการที่สามารถรองรับ Authentication พร้อมๆกันได้จำกัด ทำให้ผู้ที่เข้าสู่ระบบปกติ ไม่ได้ทำการโจมตี อาจเข้าสู่ระบบไม่ได้หากพยายามเข้าสู่ระบบในระหว่างที่มีผู้โจมตีกำลังโจมตี
ช่องโหว่ความสำคัญ High อีกสองช่องโหว่เป็นแก้ช่องโหว่ใน SAP Landscape Management (CVE-2020-6191 และ CVE-2020-6192 ทั้งคู่มีคะเเนน CVSS 7.2) ซึ่งเป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิเป็นผู้ดูแลระบบได้
ผู้ดูแลระบบ SAP ควรตรวจสอบและอัปเดตแพตช์เพื่อความปลอดภัย
ที่มา : securityweek
You must be logged in to post a comment.