Argitalpen data: 2019/02/14
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- SAP Business Client, 6.5 bertsioa
- SAP Landscape Management, VCM 3.0 bertsioak
- ABAP Platform (SLD Registration), honako bertsioak: KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49. 7.73; KERNEL 7.21etik 7.22ra bitartekoak, 7.45, 7.49, 7.53, 7.73, 7.75
- SAP Disclosure Management, 10.01 bertsioa
- Solution Tools Plug-In (ST-PI); 2008_1_700, 2008_1_710, 740 bertsioak
- ABAP Platform, honako bertsioak: Krnl64nuc 7.74, krnl64UC 7.73, 7.74, Kernel 7.73, 7.74, 7.75
- SAP_BASIS, honako bertsioak: 7.00tik 7.02ra bitartekoak, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51
- SAP HANA Extended Application Services, eredu aurreratua (XS advanced), 1.0 bertsioa
- SAP Disclosure Management, Stack 1301 10.01 bertsioa
- SAP BusinessObjects Business Intelligence Platform Servers (Enterprise), 4.2, 4.3 bertsioak
- SAP Manufacturing Integration and Intelligence, versiones 15.0, 15.1 y 15.2
- SAP Manufacturing Integration and Intelligence, 15.0, 15.1 eta 15.2 bertsioak
- SAP BusinessObjects Business Intelligence Platform, 4.2, 4.3 bertsioak
- ABAP Platform (SAP Basis), honako bertsioak: 7.0tik 7.02ra bitartekoak, 7.10etik 7.11ra bitartekoak, 7.30, 7.31, 7.40, 7.50tik 7.53ra bitartekoak, 7.74tik 7.75era bitartekoak
- SAP HANArako SAP Enterprise Architecture Designer, 1.0 bertsioa
- SAP WebIntelligence BILaunchPad (Enterprise), 4.10, 4.20 bertsioak
Azalpena:
SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.
Konponbidea:
Xehetasuna:
SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 16 segurtasun ohar argitaratu ditu. Horietatik 2 larritasun kritikokoak dira, 4 larritasun altukoak eta beste 10 larritasun ertainekoak.
Argitaratutako ahultasun motak ondokoak dira:
- Baimenaren egiaztapen gabeziako 2 ahultasun.
- XSS (Cross-Site Scripting) erako 3 ahultasun.
- Informazio zabalkundeko 3 ahultasun.
- Autentifikazio faltako ahultasun 1.
- XMLren baliozkotze gabeziako 2 ahultasun.
- Beste era batzuetako 5 ahultasun.
Kritikotzat kalifikatutako segurtasun oharrak honi buruzkoak dira:
- Chromium nabigatzailearen kontrolerako segurtasun eguneraketak SAP Business Client-ekin banatuak.
- SAP HANA Extended-en eredu aurreratuak duen autentifikazioaren egiaztapen gabezia baliatuz, erasotzaile batek informazio sentikorra irakurri, aldatu edo ezaba lezake, eta horrez gain, pribilegio altuko funtzionaltasunak lor litzake. Ahultasun horretarako CVE-2019-0261 identifikatzailea erreserbatu da.
Kritikotasun altuko segurtasun oharrak honi buruzkoak dira:
- XXE (XML External Entity) erako ahultasuna ABAP Platform-eko SLD Registration-en. Ahultasun horretarako CVE-2019-0265 identifikatzailea erreserbatu da.
- Baimen falta SAP Disclosure Management-en. Ahultasun horretarako CVE-2019-0258 identifikatzailea erreserbatu da.
- Datu baseen zerbitzariko fitxategien sistemarekin zerikusia duen informazioaren zabalkundea.
- ABAP Platform-ek Easy Access Menura sarbidea eskaintzen du. Ahultasun horretarako CVE-2019-0255 identifikatzailea erreserbatu da.
Gainerako ahultasunetarako ondoko identifikatzaileak erreserbatu dira: CVE-2019-0266, CVE-2019-0254, CVE-2019-0259, CVE-2019-0267, CVE-2019-0251, CVE-2019-0256, CVE-2019-0257 eta CVE-2019-0262.
Etiketak:
Eguneraketa, SAP, Ahultasuna