Η γερμανική εταιρεία λογισμικού SAP κυκλοφόρησε τις ενημερώσεις ασφαλείας του Μαΐου 2020, οι οποίες διορθώνουν έξι κρίσιμα σφάλματα που εντοπίστηκαν σε πολλά από τα προϊόντα της. Από αυτά τα σφάλματα, τα τρία έχουν βαθμολογία σοβαρότητας πολύ κοντά στο μέγιστο. Επιπλέον, όλα αυτά τα σφάλματα, εκτός από ένα, μπορούν να εκμεταλλευτούν εξ αποστάσεως, δεν απαιτούν αλληλεπίδραση με τον χρήστη και έχουν χαμηλή πολυπλοκότητα επίθεσης. Κάποια από αυτά είναι νέα, ενώ άλλα όχι. Συγκεκριμένα, ένα από αυτά είναι μια ενημέρωση σε ένα ζήτημα ασφαλείας από τον Απρίλιο του 2018. Ακόμη, αυτά τα σφάλματα διαφέρουν από τα ζητήματα ασφαλείας που ανακοίνωσε η εταιρεία πριν λίγες μέρες, τα οποία επηρεάζουν τα cloud-based προϊόντα της και θα επιδιορθωθούν πριν από το τέλος του δεύτερου τριμήνου του 2020. Η Ημέρα Ενημέρωσης Ασφαλείας της SAP για τον Μάϊο του 2020 περιλαμβάνει πολλές ειδοποιήσεις για διάφορους τύπους ευπάθειας, με τις μισές από αυτές να αφορούν κρίσιμα σφάλματα.
Το πιο κρίσιμο από αυτά εντοπίζεται ως CVE-2020-6262 και έχει βαθμολογία σοβαρότητας 9,9 στα 10. Πρόκειται για μία ευπάθεια έγχυσης κώδικα στη Λήψη Δεδομένων και επηρεάζει πολλές εκδόσεις του SAP Application Server ABAP (2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700 , 2008_1_710, 740). Το δεύτερο πιο σοβαρό σφάλμα ασφαλείας εντοπίζεται ως CVE-2020-6242, με βαθμολογία σοβαρότητας 9,8 στα 10. Πρόκειται για έλεγχο έλλειψης ελέγχου ταυτότητας στο SAP Business Objects Business Intelligence Platform, στις εκδόσεις 1.0, 2.0 και 2.X. Μια ενημέρωση ασφαλείας για τον Chromium browser που αποστέλλεται με το SAP Business client, αναφέρεται επίσης ως κρίσιμη, με βαθμολογία 9,8 στα 10, με βάση την έκδοση 3 του Common Vulnerability Scoring System (CVSS). Μια άλλη έγχυση κώδικα αντιμετωπίστηκε στον backup server του SAP Adaptive Server Enterprise (ASE) έκδοση 16.0. Η σοβαρότητα αυτού του σφάλματος, το οποίο εντοπίζεται ως CVE-2020-6248, αξιολογείται στα 9.1 στα 10. Ένα σφάλμα γνωστοποίησης πληροφοριών, που εντοπίζεται ως CVE-2020-6252 κι έχει βαθμολογία σοβαρότητας 9 στα 10, στο εργαλείο διαχείρισης γραφικών του SAP ASE, το Cockpit, είναι το τελευταίο στη λίστα των κρίσιμων τρωτών σημείων που αντιμετωπίζει η εταιρεία με τις ενημερώσεις αυτής της εβδομάδας.
Η SAP αντιμετώπισε επίσης άλλα σφάλματα ασφαλείας υψηλής και μεσαίας σοβαρότητας, τα οποία επηρεάζουν τον Adaptive Server Enterprise και ορισμένα από τα στοιχεία του:
- Ένα σφάλμα έγχυσης SQL, που εντοπίζεται ως CVE-2020-6241 κι έχει βαθμολογία σοβαρότητας 8.8 στα 10.
- Μία έγχυση κώδικα στον server του SAP ASE XP στην πλατφόρμα Windows, που εντοπίζεται ως CVE-2020-6243, με βαθμολογία 8 στα 10.
- Μία έγχυση SQL που επηρεάζει τις Web Υπηρεσίες της SAP ASE, που εντοπίζεται ως CVE-2020-6253 κι έχει βαθμολογία 7.2.
- Γνωστοποίηση πληροφοριών, που εντοπίζεται ως CVE-2020-6250, με βαθμολογία 6.8.
- Έλλειψη ελέγχου εξουσιοδότησης, που εντοπίζεται ως CVE-2020-6259, με βαθμολογία 6.5 στα 10.
Συνιστάται στους πελάτες της SAP να λάβουν τις ενημερώσεις ασφαλείας αυτού του μήνα, οι οποίες διατίθενται στο portal υποστήριξης της εταιρείας.
