ERPには珍しい critical vulnerability の記事があったので、挙げておく。
You've patched that critical Sage X3 ERP security hole, yeah? Not exposing the suite to the internet, either, yeah? (07/07)
https://www.theregister.com/オンプレミスのSageX3 ERPのシステム管理者は、未認証のコマンド実行脆弱性の犠牲に備えて、ERPスイートをパブリックインターネットに公開していないことを確認する必要があります。また、管理者は、Rapid7によって以前に発見および報告された多数のバグに対処する、ソフトウェアの最新のパッチが今までにインストールしているべきと述べました。 情報セキュリティチームは欠陥を詳細に説明し、「SageX3のリモート管理に関連するプロトコル関連の問題」と呼んでいます。CVE-2020-7388を悪用して、Sage X3をだまして、TCPポート1818を介して公開されている管理サービスに、特別に細工されたリクエストを送信して、NT AUTHORITY / SYSTEMコマンドとして実行させることができます。
Sage X3 Vulnerabilities Can Pose Serious Risk to Organizations (07/09)
https://www.securityweek.com/研究者によって特定された4つの脆弱性のうち、1つは重大と評価され、残りは中程度の重大度です。 CVE-2020-7388として追跡されている重大な欠陥は、認証されていないリモートコマンド実行の問題として説明されています。
CVE-2020-7387..7390: Multiple Sage X3 Vulnerabilities (07/07)
https://www.rapid7.com/blog/Sage X3に関連する4つの脆弱性がRapid7の研究者によって特定されました...これらの脆弱性はSageに報告されました...そして最近のリリースで修正されました
- Sage X3バージョン9(Syracuse 9.22.7.2に同梱されているコンポーネント)、
- Sage X3 HR&Payrollバージョン9(Syracuse 9.24.1.3に同梱されているコンポーネント)、
- Sage X3バージョン11(Syracuse v11.25.2.6)、および
- Sage X3バージョン12(Syracuse v12.10.2.8)。
SageX3の市販のバージョン10はなかったことに注意してください。これらの脆弱性は、以下の表に要約されています。...一般的に、Sage X3のインストールはインターネットに直接公開するのではなく、必要に応じて安全なVPN接続を介して利用できるようにする必要があります。 この運用上のアドバイスに従うと、4つの脆弱性すべてが効果的に軽減されますが、お客様は通常のパッチサイクルスケジュールに従って更新する必要があります。VE Identifier, CWE Identifier, CVSS score (Severity), Remediation
- CVE-2020-7388
CWE-290: Unauthenticated Command Execution Bypass by Spoofing in AdxAdmin10.0 (Critical)Update available
- CVE-2020-7387
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor in AdxAdmin5.3 (Medium)Update available
- CVE-2020-7389
CWE-306 Missing Authentication for Critical Function in Developer Environment in Syracuse5.5 (Medium)No fix planned, as this is a development function and not a production function.
- CVE-2020-7390
CWE-79: Persistent Cross-Site Scripting (XSS) in Syracuse4.6 (Medium)Update available (note, this affects V12 only, unlike the other issues which affects V9 and V11 as well)
No comments:
Post a Comment