Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/08/12

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

• SAP NetWeaver (ABAP Server) y ABAP Platform, versiones 702, 730, 731, 740 y 750.
• SAP NetWeaver AS JAVA (LM Configuration Wizard), 7.30, 7.31, 7.40 eta 7.50 bertsioak;
• SAP NetWeaver (Knowledge Management), 7.30, 7.31, 7.40 eta 7.50 bertsioak;
• SAP Business Objects Business Intelligence Platform, 4.2 eta 4.3 bertsioak;
• SAP Banking Services (Generic Market Data), 400, 450 eta 500 bertsioak;
• SAP NetWeaver (ABAP Server) eta ABAP Platform, 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753 eta 755 bertsioak;
• SAP NetWeaver AS JAVA (ENGINEAPI), 7.10 eta 7.10 bertsioak;
• SAP NetWeaver AS JAVA (WSRM), 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50 bertsioak;
• SAP NetWeaver AS JAVA (SERVERCORE), 7.10, 7.10 eta 7.11 bertsioak;
• SAP NetWeaver AS JAVA (J2EE-FRMW), J2EE-FRMW 7.10 eta 7.11 bertsioak;
• SAP NetWeaver (Knowledge Management), 7.30, 7.31, 7.40 eta 7.50 bertsioak;
• SAP Adaptive Server Enterprise, 16.0 bertsioa;
• SAP Commerce, 6.7, 1808, 1811, 1905 eta 2005 bertsioak;
• SAP Data Intelligence, 3 bertsioa;
• SAPUI5 (UISAPUI5_JAVA), 7.50 bertsioa;
• SAPUI5 (SAP_UI), 750, 751, 752, 753, 754 eta 755 bertsioak;
• SAPUI5 (UI_700), 200 bertsioa;
• SAP ERP (HCM Travel Management), 600, 602, 603, 604, 605, 606, 607 eta 608 bertsioa;
• SAP Business Objects Business Intelligence Platform (Central Management Console), 4.2 eta 4.3 bertsioak;
• SAP S/4 HANA (Fiori UI for General Ledger Accounting), 103 eta 104 bertsioak;
• SAP NetWeaver (ABAP Server) eta ABAP Platform, 740, 750, 751, 752, 753, 754 eta 755 bertsioak;
• SAP NetWeaver (ABAP Server) eta ABAP Platform, 702, 730, 731, 740 eta 750 bertsioak.

Azalpena:

SAPek produktu batzuen inguruan hainbat segurtasun-eguneratze argitaratu ditu, bere hileroko jakinarazpenean.

Konponbidea: 

SAP laguntza-eremua bisitatu eta eguneratze edo partxeak instalatzea, fabrikatzaileak adierazitakoaren arabera.

Xehetasunak: 

SAPek 15 segurtasun ohar eta eguneratze 1 egin ditu bere hileroko jakinarazpenean. Horietako 2 larritasun kritikokoak dira, 6 altukoak eta 8 tartekoak.

Argitaratutako ahultasun mota berriak honakoekin bat datoz:

• Kodearen injekzioaren ahultasun bat.
• Cross-site scripting motako 5 ahultasun.
• Informazioaren dibulgazioaren arloko 4 ahultasun,
• Baimenaren konprobatze faltaren 3 ahultasun,
• Egiaztatzea konprobatze faltaren 4 ahultasun,
• Beste motaren bateko ahultasun bat.

Segurtasun ohar nabarmenenak honakoen ingurukoak dira:

• SAP NetWeaver AS JAVA (LM Configuration Wizard) sistemak ez du autentikazioa egiaztatzen. Horren bidez, aurretik egiaztatu gabeko erasotzaile batek konfigurazioak egin litzake SAP Java sistemaren aurkako ekintza kritikoak burutzeko, baita erabiltzaile administraria sortzeko gaitasuna ere, beraz, sistemaren eskuragarritasuna, integritatea eta konfidentzialtasuna konprometituta egon daitezke. Ahultasun horretarako, CVE-2020-6287 identifikatzailea esleitu da.

• SAP Enterprise Portal-en SAP NetWeaver sistemaren parte den SAP Knowledge Management delakoari eragiten dion Cross-Site Scripting (XSS) motako ahultasun bat. Horren bidez, sistemaren eskuragarritasuna, konfidentzialtasuna eta integritatea konprometituta egon daitezke. Ahultasun horretarako, CVE-2020-6284 identifikatzailea esleitu da.

Gainerako ahultasunetarako, honako identifikatzaileak erreserbatu dira: CVE-2020-6294, CVE-2020-6298, CVE-2020-6296, CVE-2020-6309, CVE-2020-6293, CVE-2020-6295, CVE-2020-6297, CVE-2020-6301, CVE-2020-6300, CVE-2020-6273, CVE-2020-6299 eta CVE-2020-6310.

Etiketak: Eguneratzea, SAP, Ahultasuna