Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

2021eko otsaileko SAP segurtasun-eguneratzea

Argitalpen data: 2021/02/10

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • SAP Business Client, 6.5 bertsioa;
  • SAP Commerce, 1808, 1811, 1905, 2005 eta 2011 bertsioak;
  • SAP Business Warehouse, bertsioak: 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 eta 782;
  • SAP NetWeaver AS ABAP (SAP Landscape Transformation - DMIS), bertsioak: 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 eta 2011_1_752, 2020;
  • SAP S4 HANA (SAP Landscape Transformation), bertsioak: 101, 102, 103, 104 eta 105;
  • SAP NetWeaver AS ABAP, bertsioak: 740, 750, 751, 752, 753, 754 eta 755;
  • SAP Software Provisioning Manager 1.0 (SAP NetWeaver Master Data Management Server 7.1), 1.0 bertsioa;
  • SAP NetWeaver Process Integration (Java Proxy Runtime), bertsioak: 7.10, 7.11, 7.30, 7.31, 7.40 eta 7.50;
  • SAP Business Objects Business Intelligence Platform (CMC and BI Launchpad), bertsioak: 410, 420 eta 430;
  • SAP UI5, bertsioak: 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4 eta 1.86.1;
  • SAP Web Dynpro ABAP;
  • SAP UI, bertsioak: 7.5, 7.51, 7.52, 7.53 eta 7.54;
  • SAP UI 700, 2.0 bertsioa;
  • SAP HANA Database, 1.0 eta 2.0 bertsioak;
  • SAP NetWeaver Master Data Management Server, bertsioak: 710 eta 710.750.

Azalpena:

SAPek produktu batzuen inguruan hainbat segurtasun-eguneratze argitaratu ditu, bere hileroko jakinarazpenean.

Konponbidea: 

SAP laguntza-zerbitzua bisitatu eta eguneratze edo partxeak instalatzea, fabrikatzaileak adierazitakoaren arabera.

Alderantzizko tabnabbing motako ahultasunetarako, posible da honako arintze-neurriak aplikatzea:

  • HTML:
    • HTML loturetan rel atributua gehitzea: < a rel="external" href="https://ourpartner.com" target="_self" rel="noopener noreferrer" >texto< /a >.HTTP goiburuan zuzenean gehitzea: Referrer-Policy: noreferrer.
    • Gainera, nabigatzaileen hornitzaile nagusi bat "rel=noopener" delakoaren jokabide inplizitu bat garatzen hasi da, target="blank" erabiltzekotan
  • JavaScript bertsioetan, honako funtzioaren bidez:

function openPopup(url, name, options){
// Leiho gorakorra ireki eta irekiera eta erreferentzia politikaren jarraibidea ezartzea. 
var newWin = window.open(null, name, 'noopener,noreferrer,' options);
// Irekiera lotura berrezartzea. 
newWin.opener = null;
// Orain kargatu url zuzena. 
newWin.location = url; }   

Xehetasuna: 

SAPek, segurtasun-partxeen hileroko komunikazioan, 7 segurtasun-ohar eta 6 eguneratze egin ditu. Horietako 3 larritasun kritikokoak dira, 2 handikoak eta 8 tartekoak.

Argitaratutako ahultasun mota berriak honakoekin bat datoz:

  • Click bahiketaren motako ahultasun bat,
  • Cross-site Scripting motako ahultasun bat,
  • Zerbitzu ukapenaren inguruko ahultasun bat,
  • Baimenaren konprobatze faltaren 3 ahultasun,
  • Kodearen urrutiko exekuzioaren ahultasun bat,
  • SQL injection motako ahultasun bat,
  • Beste motaren bateko 6 ahultasun.

Segurtasun ohar nabarmenenak honakoen ingurukoak dira:

  • Egiaztatutako erasotzaile batek, SAP Commerce Cloud sisteman drool arauak editatzeko pribilegioekin, kode maltzurra injektatu lezake horietan. Horrela izanik, kodearen urrutiko exekuzioa gerta liteke arauak exekutatzen direnean, eta azpiko hosta konprometitu liteke eta aplikazioaren konfidentzialtasun, integritate eta eskuragarritasunari eragin liezaioke. Ahultasun horretarako, CVE-2021-21477 identifikatzailea esleitu da.
  • Alderantzizko tabnabbing motako akats baten ondorioz, gerta liteke nabigatzailearen beste pestaina batean irekitzen den dokumentu lotu batek jatorrizko orrialdea ordeztu edo birbideratzea, phishing orri bat jarriz, erabiltzailearen aldetik inolako interakziorik izan gabe.

Etiketak: Eguneratzea, SAP, Ahultasuna