圖片來源: 

Sap

安全廠商Trustwave昨日(6/3)揭露Adaptive Server Enterprise (ASE)關聯式資料庫內,有7項中到高風險等級的漏洞,最嚴重者可造成任意程式碼執行及資料庫可被公開存取。

ASE關聯式資料庫是來自SAP收購的Sybase ASE產品。過去這項產品廣受金融業採用。SAP也宣稱全球25大銀行中,有24家以Sybase ASE來跑關鍵應用。但是自2010年SAP收購以來,ASE已甚少釋出修補程式。

SAP本周公告的7項安全漏洞中,有6項為Trustwave發現。其中最嚴重的是CVE-2020-6248,它是備份資料庫程式碼注入漏洞,出在備份作業覆寫重要組態檔時未做安全檢查,導致任何能執行DUMP指令者(如資料庫管理員),可以簡單指令取代原有的備份伺服器組態檔,再以DUMP指令驅動攻擊程式碼執行,如果SAP ASE跑在Windows平臺上,程式檔即可預設以本機權限執行。

CVE-2020-6252出在ASE中Cockpit元件使用的小型資料庫SQL Anywhere,它是以本機權限執行,但登入這個資料庫的密碼卻存在Windows一個可公開讀取的組態檔中,使任何Windows用戶可以取得密碼登入SQL Anywhere資料庫,再覆寫OS檔案,以執行惡意程式碼。CVE-2020-6248和CVE-2020-6252的CVSS 3.0風險評分,分別為9.1及9.0,屬於重大漏洞。

ASE另外存在CVE-2020-6241、CVE-2020-6243漏洞,前者為發生在ASE全域暫存表格(Global temporary tables)處理DDL宣稱不當,透過傳送SQL指令,造成資料庫合法用戶升級到管理員權限,後者則出在ASE中的XP Server元件使惡意程式碼以管理員權限執行。CVSS 3.0風險評分各為8.8及8.0。

另外,研究人員還發現ASE一個處理Web Services不當的漏洞(CVE-2020-6253),讓合法用戶透過SQL注入升級權限,以及ASE build log包含明碼密碼的漏洞(CVE-2020-6250),兩個漏洞風險評分各為7.2和6.8。

上述漏洞全部影響SAP Sybase ASE 16.0版本,但有些也擴及更早的ASE 15.7或15.8版。除了這些漏洞,SAP另外也修補了發生在Business Objects BI Platform、NetWeaver Application Server ABAP、Identity Server、Enterprise Threat Detection、Master Data Governance等元件的漏洞。

熱門新聞

Advertisement