Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen segurtasun eguneraketa 2019ko otsailean

Argitalpen data: 2019/02/14

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SAP Business Client, 6.5 bertsioa
  • SAP Landscape Management, VCM 3.0 bertsioak
  • ABAP Platform (SLD Registration), honako bertsioak: KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49. 7.73; KERNEL 7.21etik 7.22ra bitartekoak, 7.45, 7.49, 7.53, 7.73, 7.75
  • SAP Disclosure Management, 10.01 bertsioa
  • Solution Tools Plug-In (ST-PI); 2008_1_700, 2008_1_710, 740 bertsioak
  • ABAP Platform, honako bertsioak: Krnl64nuc 7.74, krnl64UC 7.73, 7.74, Kernel 7.73, 7.74, 7.75
  • SAP_BASIS, honako bertsioak: 7.00tik 7.02ra bitartekoak, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51
  • SAP HANA Extended Application Services, eredu aurreratua (XS advanced), 1.0 bertsioa
  • SAP Disclosure Management, Stack 1301 10.01 bertsioa
  • SAP BusinessObjects Business Intelligence Platform Servers (Enterprise), 4.2, 4.3 bertsioak
  • SAP Manufacturing Integration and Intelligence, versiones 15.0, 15.1 y 15.2
  • SAP Manufacturing Integration and Intelligence, 15.0, 15.1 eta 15.2 bertsioak
  • SAP BusinessObjects Business Intelligence Platform, 4.2, 4.3 bertsioak
  • ABAP Platform (SAP Basis), honako bertsioak: 7.0tik 7.02ra bitartekoak, 7.10etik 7.11ra bitartekoak, 7.30, 7.31, 7.40, 7.50tik 7.53ra bitartekoak, 7.74tik 7.75era bitartekoak
  • SAP HANArako SAP Enterprise Architecture Designer, 1.0 bertsioa
  • SAP WebIntelligence BILaunchPad (Enterprise), 4.10, 4.20 bertsioak

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

  • SAPen laguntzarako webgunea bisitatu eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 16 segurtasun ohar argitaratu ditu. Horietatik 2 larritasun kritikokoak dira, 4 larritasun altukoak eta beste 10 larritasun ertainekoak.

Argitaratutako ahultasun motak ondokoak dira:

  • Baimenaren egiaztapen gabeziako 2 ahultasun.
  • XSS (Cross-Site Scripting) erako 3 ahultasun.
  • Informazio zabalkundeko 3 ahultasun.
  • Autentifikazio faltako ahultasun 1.
  • XMLren baliozkotze gabeziako 2 ahultasun.
  • Beste era batzuetako 5 ahultasun.

Kritikotzat kalifikatutako segurtasun oharrak honi buruzkoak dira:

  • Chromium nabigatzailearen kontrolerako segurtasun eguneraketak SAP Business Client-ekin banatuak.
  • SAP HANA Extended-en eredu aurreratuak duen autentifikazioaren egiaztapen gabezia baliatuz, erasotzaile batek informazio sentikorra irakurri, aldatu edo ezaba lezake, eta horrez gain, pribilegio altuko funtzionaltasunak lor litzake. Ahultasun horretarako CVE-2019-0261 identifikatzailea erreserbatu da.

Kritikotasun altuko segurtasun oharrak honi buruzkoak dira:

  • XXE (XML External Entity) erako ahultasuna ABAP Platform-eko SLD Registration-en. Ahultasun horretarako CVE-2019-0265 identifikatzailea erreserbatu da.
  • Baimen falta SAP Disclosure Management-en. Ahultasun horretarako CVE-2019-0258 identifikatzailea erreserbatu da.
  • Datu baseen zerbitzariko fitxategien sistemarekin zerikusia duen informazioaren zabalkundea.
  • ABAP Platform-ek Easy Access Menura sarbidea eskaintzen du. Ahultasun horretarako CVE-2019-0255 identifikatzailea erreserbatu da.

Gainerako ahultasunetarako ondoko identifikatzaileak erreserbatu dira: CVE-2019-0266, CVE-2019-0254, CVE-2019-0259, CVE-2019-0267, CVE-2019-0251, CVE-2019-0256, CVE-2019-0257 eta CVE-2019-0262.

Etiketak: Eguneraketa, SAP, Ahultasuna