Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAP-en segurtasun eguneraketa 2019ko urtarrilean

Argitalpen data: 2019/01/09

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SAP Cloud Connector, 2.11.3 baino lehenagoko bertsioak
  • SAP Landscape Management, VCM 3.0 bertsioak
  • SAP BW/4HANA, 1.0 (SP08) bertsioa
  • SAP Financial Consolidation Cube Designer, BOBJ_EADES 8.0, 10.1 bertsioak
  • SAP Commerce (ex. SAP Hybris Commerce), 6.7 baino lehenagoko bertsioak
  • SAP Work Manager, Agentry_SDK 7.0, 7.1 bertsioak
  • SAP CRM WebClient UI, honako bertsioak: SAPSCORE 1.12, S4FND 1.02, WEBCUIF 7.31, 7.46, 7.47, 7.48, 8.0, 8.01
  • SAP Business Objects Mobile for Android, 6.3.5 baino lehenagoko bertsioak
  • SAP Gateway of ABAP Application Server, honako bertsioak: SAP_GWFND 7.5, 7.51, 7.52, 7.53; SAP_BASIS 7.5
  • SAP Enterprise Financial Services, honako bertsioak: SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0; Bank/CFM 4.63_20

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

SAPen laguntzarako webgunea bisitatu eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 11 segurtasun ohar argitaratu ditu. Horietatik 2 larritasun kritikokoak dira, 1 larritasun altukoa eta beste 8 larritasun ertainekoak.

Argitaratutako ahultasun motak ondokoak dira:

  • Baimenaren egiaztapen gabeziako 2 ahultasun.
  • Cross-site scripting erako 3 ahultasun.
  • Informazio zabalkundeko 3 ahultasun.
  • URLren birbideratzearen zerbitzuaren ukapeneko 2 ahultasun.
  • Beste era batzuetako ahultasun bat.

Kritikotzat kalifikatutako segurtasun oharrak honi buruzkoak dira:

  • SAP Cloud Connector-ek dituen bi ahultasun baliatuz, erasotzaile batek informazio sentikorra irakurri, aldatu edo ezabatu lezake eta administratzaile pribilegioak behar dituzten administrazio funtzioetara sarbidea lor lezake, baimenaren egiaztapenaren gabezia falta dela eta. Era berean, kodea injekta liteke, horrela baimendu gabeko komandoen exekuzioa, informazio sentikorrerako sarbidea edo zabalkundea, edo zerbitzuaren ukapena eraginez.
  • SAP Landscape Management-ek duen ahultasun bat baliatuz, erasotzaile batek pribilegio altuko erabiltzaile baten kredentzialak eskura litzake.

Larritasun altuko mailarekin ezaugarritutako ahultasunari dagokionez, baimentzearen egiaztapen gabeziaren erakoa da.

Etiketak: Eguneraketa, SAP, Ahultasuna