Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen 2018ko abenduko segurtasun eguneraketa

Argitalpen data: 2018/12/12

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SAP Business Client, 6.5 bertsioa
  • SAP Commerce (SAP Hybris Commerce), 6.2, 6.3, 6.4, 6.5, 6.6, 6.7 bertsioak
  • SAP Basis ("AS ABAP of SAP NetWeaver" 700etik 750era bitartekoak, 750etik aurrera "ABAP Platform" izenaz zabaldua) 7.00tik 7.02ra, 7.10etik 7.30era, 7.31, 7.40 eta 7.50etik 7.53ra bitarteko bertsioak
  • SAP NetWeaver, ServerCore bertsioak (7.11, 7.20, 7.30, 7.31, 7.40, 7.50)
  • SAP NetWeaver (Application Server Java Library), 7.20, 7.30, 7.31 eta 7.50 bertsioak
  • SAP NetWeaver AS Java, ServerCore bertsioak (7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50)
  • SAP ABAP Change and Transport System (CTS), SAP KERNEL 32 NUC, SAP KERNEL 32 Unicode, SAP KERNEL 64 NUC, SAP KERNEL 64 Unicode 7.21, 7.21EXT, 7.22 eta 7.22EXT bertsioak; SAP KERNEL 7.21, 7.22, 7.45, 7.49, 7.53, 7.73 eta 7.74 bertsioak
  • SAP Marketing, UICUAN bertsioak (1.20, 1.30, 1.40), SAPSCORE (1.13, 1.14)
  • SAP_BASIS, 6.40, 7.00, 7.01, 7.02, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 bertsioak
  • SAP Business One Service Layer, B1_ON_HANA bertsioa (9.2, 9.3)
  • SAP Mobile Secure for Android, 6.60.19942.0 SP28 1711 bertsioa
  • SAP HANA, 1.0 eta 2.0 bertsioak

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

SAPen laguntzarako webgunea bisitatu eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 9 segurtasun ohar eta 3 eguneraketa eman ditu ezagutzera. Horietatik 2 larritasun kritikokoak dira, 3 larritasun altukoak, 6 larritasun ertainekoak eta 1 larritasun baxukoa.

Argitaratutako ahultasun motak ondokoak dira:

  • Baimenaren egiaztapen gabeziako 2 ahultasun.
  • Cross-site scripting erako 3 ahultasun.
  • Informazio zabalkundeko ahultasun bat.
  • XMLren balioztatze okerreko ahultasun bat.
  • Cross-frame scripting erako ahultasun bat.
  • Beste era batzuetako 4 ahultasun.

Larritasun kritikoak honakoak dira:

  • SAP Business Client-en 6.5 bertsioak duen ahultasun bat baliatuz, erasotzaile bateko kode arbitrarioa exekuta lezake sandbox baten barnean aurrez diseinatutakoHTML orrialde baten bidez.
  • SAP Hybris Commerce-k duen cross-site scripting (XSS) erako ahultasun batek JavaScript webApplicationInjector.js fitxategiari eragiten dio, edo horren kopia bati dendek erabiltzen dutenean.
Etiketak: Eguneraketa, SAP, Ahultasuna