Argitalpen data: 2019/04/10
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- SAP Business Client, 6.5 bertsioa
- SAP Crystal Reports for Visual Studio, 2010 bertsioa
- AP NetWeaver (SLD Registration) eta ABAP Platform (SLD Registration), honako bertsioak: KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KERNEL 7.21etik 7.22ra bitartean, 7.45 eta 7.49
- SAP BASIS, 7.00tik 7.02ra bitarteko bertsioak, 7.10etik 7.30era bitartekoak, 7.31, 7.40 eta 7.50etik 7.53ra bitartekoak
- SAP NetWeaver Process Integration (Runtime Workbench eta Messaging System), 7.10etik 7.11ra bitarteko bertsioak, biak barne, 7.31, 7.40 eta 7.50
- SAP HANA, 1.0 eta 2.0 bertsioak
- AP Enterprise Financial Services, honako bertsioak: SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0 eta Bank/CFM 4.63_20
Azalpena:
SAPek hainbat produkturi buruzko segurtasun
eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.
Konponbidea:
- SAPen zerbitzuaren ataria bisitatzea eta
fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo
partxeak instalatzea.
Xehetasuna:
SAPek segurtasun partxeei buruz
argitaratzen duen hileroko komunikatuan 6 segurtasun ohar eta 3 eguneraketa
eman ditu ezagutzera. Horietatik 1 larritasun kritikokoa da, 2 larritasun
altukoak eta beste 6 larritasun ertainekoak.
Argitaratutako ahultasun motak ondokoak
dira:
- Baimenaren egiaztapen gabeziako 2 ahultasun.
- Informazio zabalkundeko 3 ahultasun.
- XML External Entity (XXE) erako 2 ahultasun.
- Beste era batzuetako 2 ahultasun.
Kritikotzat kalifikatutako segurtasun
eguneraketa honi buruzkoa da:
- Sap Business Client-ek barnean duen Chromium nabigatzaileak hainbat ahultasun ditu eta SAPek konpondu egin ditu eguneraketa honetan.
Kritikotasun altuko segurtasun oharrak honi
buruzkoak dira:
- SAP Crystal Reports-ek informazioa hedatzearen ahultasuna dauka. Hori baliatuz erasotzaile batek informazio gehigarria zabal lezake (sistemako datuak, arazketa informazioa eta abar), eta horrek sistema ezagutzen eta eraso berriak planifikatzen lagunduko lioke. Ahultasun horretarako CVE-2019-0285 identifikatzailea erreserbatu da.
- AP NetWeaver Java Application Server-ek ordezpen erako ahultasun bat dauka. Erasotzaile batek datu irakurtezinak erakuts liezazkioke erabiltzaileari, edo bidaltzailearen helbidea, orrialde batean erakutsitako datuak edo bestelako informazio garrantzitsua aldatu. Ahultasun horretarako CVE-2019-0283 identifikatzailea erreserbatu da.
Gainerako ahultasunen identifikatzaileak
honakoak dira: CVE-2019-0265, CVE-2019-0279, CVE-2019-0282, CVE-2019-0284,
CVE-2019-0278 eta CVE-2018-2484.
Etiketak: Eguneraketa,
SAP, Ahultasuna