Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen 2019ko apirileko segurtasun eguneraketa

Argitalpen data: 2019/04/10

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SAP Business Client, 6.5 bertsioa
  • SAP Crystal Reports for Visual Studio, 2010 bertsioa
  • AP NetWeaver (SLD Registration) eta ABAP Platform (SLD Registration), honako bertsioak: KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KERNEL 7.21etik 7.22ra bitartean, 7.45 eta 7.49
  • SAP BASIS, 7.00tik 7.02ra bitarteko bertsioak, 7.10etik 7.30era bitartekoak, 7.31, 7.40 eta 7.50etik 7.53ra bitartekoak
  • SAP NetWeaver Process Integration (Runtime Workbench eta Messaging System), 7.10etik 7.11ra bitarteko bertsioak, biak barne, 7.31, 7.40 eta 7.50
  • SAP HANA, 1.0 eta 2.0 bertsioak
  • AP Enterprise Financial Services, honako bertsioak: SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0 eta Bank/CFM 4.63_20

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

  • SAPen zerbitzuaren ataria bisitatzea eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 6 segurtasun ohar eta 3 eguneraketa eman ditu ezagutzera. Horietatik 1 larritasun kritikokoa da, 2 larritasun altukoak eta beste 6 larritasun ertainekoak.

Argitaratutako ahultasun motak ondokoak dira:

  • Baimenaren egiaztapen gabeziako 2 ahultasun.
  • Informazio zabalkundeko 3 ahultasun.
  • XML External Entity (XXE) erako 2 ahultasun.
  • Beste era batzuetako 2 ahultasun.

Kritikotzat kalifikatutako segurtasun eguneraketa honi buruzkoa da:

  • Sap Business Client-ek barnean duen Chromium nabigatzaileak hainbat ahultasun ditu eta SAPek konpondu egin ditu eguneraketa honetan.

Kritikotasun altuko segurtasun oharrak honi buruzkoak dira:

  • SAP Crystal Reports-ek informazioa hedatzearen ahultasuna dauka. Hori baliatuz erasotzaile batek informazio gehigarria zabal lezake (sistemako datuak, arazketa informazioa eta abar), eta horrek sistema ezagutzen eta eraso berriak planifikatzen lagunduko lioke. Ahultasun horretarako CVE-2019-0285 identifikatzailea erreserbatu da.
  • AP NetWeaver Java Application Server-ek ordezpen erako ahultasun bat dauka. Erasotzaile batek datu irakurtezinak erakuts liezazkioke erabiltzaileari, edo bidaltzailearen helbidea,  orrialde batean erakutsitako datuak edo bestelako informazio garrantzitsua aldatu. Ahultasun horretarako CVE-2019-0283 identifikatzailea erreserbatu da.

Gainerako ahultasunen identifikatzaileak honakoak dira: CVE-2019-0265, CVE-2019-0279, CVE-2019-0282, CVE-2019-0284, CVE-2019-0278 eta CVE-2018-2484.

Etiketak: Eguneraketa, SAP, Ahultasuna