2020-0498: Microsoft Dynamics 365: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-03-11 13:46)

Neues Advisory

Version 2 (2020-04-15 14:11)

Microsoft aktualisiert den Sicherheitshinweis zu CVE-2020-0905, da dort für verschiedene Produkte nicht die korrekten Download-Links angegeben waren. Benutzer der Software werden gebeten, die neuesten Sicherheitsupdates zu installieren.

Betroffene Software

Middleware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein entfernter Angreifer mit üblichen Benutzerrechten, welcher die Schwachstelle erfolgreich ausnutzt, kann beliebige Shell-Befehle auf dem Server eines Opfers ausführen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers dergestalt, dass dieser eine Verbindung zu einem schädlichen Dynamics Business Central Client herstellt oder eine Rechteerweiterung für das System vornimmt, so dass eine Code-Ausführung ermöglicht wird. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben.

Im Zuge des Microsoft Patchtages im März 2020 stehen Sicherheitsupdates für Microsoft Dynamics 365 Business Central On Premise, Business Central 2019 Spring Update und Business Central 2019 Release Wave 2 (On-Premise) sowie Microsoft Dynamics NAV 2013, 2015, 2016, 2017 und 2018 zur Behebung der Schwachstelle bereit. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Dynamics' identifiziert werden.

Schwachstellen:

CVE-2020-0905

Schwachstelle in Microsoft Dynamics Business Central ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.