Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/02/14

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• SAP Business Client, 6.5 bertsioa
• SAP Landscape Management, VCM 3.0 bertsioak
• ABAP Platform (SLD Registration), honako bertsioak: KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT; KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49; KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49. 7.73; KERNEL 7.21etik 7.22ra bitartekoak, 7.45, 7.49, 7.53, 7.73, 7.75
• SAP Disclosure Management, 10.01 bertsioa
• Solution Tools Plug-In (ST-PI); 2008_1_700, 2008_1_710, 740 bertsioak
• ABAP Platform, honako bertsioak: Krnl64nuc 7.74, krnl64UC 7.73, 7.74, Kernel 7.73, 7.74, 7.75
• SAP_BASIS, honako bertsioak: 7.00tik 7.02ra bitartekoak, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51
• SAP HANA Extended Application Services, eredu aurreratua (XS advanced), 1.0 bertsioa
• SAP Disclosure Management, Stack 1301 10.01 bertsioa
• SAP BusinessObjects Business Intelligence Platform Servers (Enterprise), 4.2, 4.3 bertsioak
• SAP Manufacturing Integration and Intelligence, versiones 15.0, 15.1 y 15.2
• SAP Manufacturing Integration and Intelligence, 15.0, 15.1 eta 15.2 bertsioak
• SAP BusinessObjects Business Intelligence Platform, 4.2, 4.3 bertsioak
• ABAP Platform (SAP Basis), honako bertsioak: 7.0tik 7.02ra bitartekoak, 7.10etik 7.11ra bitartekoak, 7.30, 7.31, 7.40, 7.50tik 7.53ra bitartekoak, 7.74tik 7.75era bitartekoak
• SAP HANArako SAP Enterprise Architecture Designer, 1.0 bertsioa
• SAP WebIntelligence BILaunchPad (Enterprise), 4.10, 4.20 bertsioak

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

• SAPen laguntzarako webgunea bisitatu eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 16 segurtasun ohar argitaratu ditu. Horietatik 2 larritasun kritikokoak dira, 4 larritasun altukoak eta beste 10 larritasun ertainekoak.

Argitaratutako ahultasun motak ondokoak dira:

• Baimenaren egiaztapen gabeziako 2 ahultasun.
• XSS (Cross-Site Scripting) erako 3 ahultasun.
• Informazio zabalkundeko 3 ahultasun.
• Autentifikazio faltako ahultasun 1.
• XMLren baliozkotze gabeziako 2 ahultasun.
• Beste era batzuetako 5 ahultasun.

Kritikotzat kalifikatutako segurtasun oharrak honi buruzkoak dira:

• Chromium nabigatzailearen kontrolerako segurtasun eguneraketak SAP Business Client-ekin banatuak.
• SAP HANA Extended-en eredu aurreratuak duen autentifikazioaren egiaztapen gabezia baliatuz, erasotzaile batek informazio sentikorra irakurri, aldatu edo ezaba lezake, eta horrez gain, pribilegio altuko funtzionaltasunak lor litzake. Ahultasun horretarako CVE-2019-0261 identifikatzailea erreserbatu da.

Kritikotasun altuko segurtasun oharrak honi buruzkoak dira:

• XXE (XML External Entity) erako ahultasuna ABAP Platform-eko SLD Registration-en. Ahultasun horretarako CVE-2019-0265 identifikatzailea erreserbatu da.
• Baimen falta SAP Disclosure Management-en. Ahultasun horretarako CVE-2019-0258 identifikatzailea erreserbatu da.
• Datu baseen zerbitzariko fitxategien sistemarekin zerikusia duen informazioaren zabalkundea.
• ABAP Platform-ek Easy Access Menura sarbidea eskaintzen du. Ahultasun horretarako CVE-2019-0255 identifikatzailea erreserbatu da.

Gainerako ahultasunetarako ondoko identifikatzaileak erreserbatu dira: CVE-2019-0266, CVE-2019-0254, CVE-2019-0259, CVE-2019-0267, CVE-2019-0251, CVE-2019-0256, CVE-2019-0257 eta CVE-2019-0262.

Etiketak: Eguneraketa, SAP, Ahultasuna