Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen 2019ko abuztuko segurtasun eguneraketa

Argitalpen data: 2019/08/14

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • SAP NetWeaver UDDI Server (Services Registry), honako bertsioak: 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50.
  • SAP Business Client, 6.5 bertsioa.
  • SAP Commerce Cloud (Virtualjdbc Extension eta Mediaconversion Extension), honako bertsioak: 6.4, 6.5, 6.6, 6.7, 1808, 1811 eta 1905.
  • Java-rako SAP NetWeaver Application Server (Administrator System Overview), 7.30, 7.31, 7.40 eta 7.50 bertsioak.
  • SAP HANA Database, 1.0 eta 2.0 bertsioak.
  • SAP Kernel (ABAP Debugger), honako bertsioak: KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73, KERNEL 7.21, 7.49, 7.53, 7.73, 7.75, 7.76 eta 7.77.
  • SAP Enable Now, 1902 bertsioa.
  • SAP NetWeaver Process Integration (Java Proxy Runtime), 7.10, 7.11, 7.30, 7.31, 7.40 eta 7.50 bertsioak.
  • SAP Gateway, 750, 751, 752 eta 753 bertsioak.
  • SAP Business Objects Business Intelligence Platform (BI Workspace, Info View, Web Intelligence eta CMC), 4.1, 4.2 eta 4.3 bertsioak.

Azalpena: 

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea: 

SAPen laguntza ataria bisitatzea eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna: 

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 13 segurtasun ohar argitaratu ditu. Horietatik 4 larritasun kritikokoak dira, 2 larritasun altukoak, 6 larritasun ertainekoak eta bat baxukoa.

Argitaratutako ahultasun motak honako hauek dira:

  • Informazio zabalkundeko 3 ahultasun.
  • Kodearen urruneko exekuzioaren erako ahultasun bat.
  • Zerbitzuaren ukazioko ahultasun bat.
  • SSRF (Server-Side Request Forgery) erako ahultasun bat.
  • Kode injekzioko ahultasun bat.
  • Beste era batzuetako 6 ahultasun.

Kritikotzat eta altutzat kalifikatutako segurtasun oharrak honi buruzkoak dira:

  • Erasotzaile batek bufferraren gainezkatze erako ahultasun bat balia lezake kodea injektatzeko lanaren memorian. Ahultasun horretarako CVE-2019-0351 identifikatzailea erreserbatu da.
  • 2018ko apirileko buletinaren eguneraketa bat.
  • Virtualjdbc eta Mediaconversion luzapenek duten kodearen injekzio erako ahultasun batzuk baliatuz, erasotzaileak aplikazioaren kontrol osoa har lezake. Ahultasun horietarako CVE-2019-0343 eta CVE-2019-0344 identifikatzaileak erreserbatu dira.
  • Kredentzialak lapurtuz, erasotzaile batek Javaren administrazio kontsolara sarbidea lor lezake. Ahultasun hori baliatuz Javaren web atariak osorik eten litezke, baimenik gabeko datuetara sarbidea lortu edo datu horiek aldatu. Ahultasun horretarako CVE-2019-0345 identifikatzailea erreserbatu da.
  • Erasotzaile batek bereziki diseinatutako konexio eskaerak bidal litzake SAP HANA instantzia batera, eta horrela erlazionatutako indizeen zerbitzaria blokeatuko luke. Ahultasun horretarako CVE-2019-0350 identifikatzailea erreserbatu da.
  • Baimen falta erako ahultasun bat baliatuz erasotzaile batek baimendu gabeko informaziorako sarbidea eskura lezake edo hura manipulatu. Ahultasun horretarako CVE-2019-0349 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, SAP, Ahultasuna