Argitalpen data: 2020/7/15
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- SAP NetWeaver, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50 bertsioak;
- SAP Business Client, 6.5 bertsioa;
- SAP Disclosure Management, 1.0 bertsioa;
- SAP Business Objects Business Intelligence Platform, 4.1 eta 4.2 bertsioak.
Azalpena:
SAPek hainbat produkturi eragiten dieten segurtasun-eguneraketak argitaratu ditu bere hileroko komunikatuan.
Konponbidea:
Bisitatu SAPen euskarria eta instalatu beharrezko eguneratzeak edo adabakiak, fabrikatzaileak dioenari jarraikiz.
Xehetasunak:
SAPek, segurtasun-adabakien hileko komunikazioan, guztira 8 segurtasun-ohar eta 2 eguneratze eman ditu: 2 zorroztasun kritikokoak, 1 handia, 6 ertainak eta 1 apala.
Hauek dira argitaratutako zaurgarritasun motak:
- Cross-Site Scripting, lau zaurgarritasun;
- informazioa dibulgatzea, bi zaurgarritasun;
- autentifikazio-falta, zaurgarritasun bat;
- ibilbide-sarbide kontrolatu gabea (path traversal), zaurgarritasun bat;
- SSRF (Server Side Request Forgery), zaurgarritasun bat;
- bestelako bost zaurgarritasun.
Segurtasun-ohar nabarmenenak honako hauei buruzkoak dira:
- SAP NetWeaver AS JAVAk (LM Configuration Wizard) ez du autentifikazio-egiaztapenik egiten, eta horrek erasotzaile bati ahalbidetuko lioke, aldez aurretik autentifikatu gabe, konfigurazio-lanak egitea SAP Java sistemaren aurkako ekintza kritikoak egiteko, administrazio-erabiltzaile bat sortzeko gaitasuna barne, eta, beraz, arriskuan ipiniko lituzke sistemaren konfidentzialtasuna, osotasuna eta erabilgarritasuna. CVE-2020-6287 eta CVE-2020-6286 identifikatzaileak esleitu dira zaurgarritasun horietarako.
- SAP NetWeaver - XML Toolkit for JAVAk (ENGINEAPI), zenbait baldintzapean, erasotzaile bati bestela mugatuta legokeen informazioa eskuratzeko aukera emango lioke, eta horrek informazioa zabaltzea ekarriko luke. CVE-2020-6285 identifikatzailea esleitu zaio zaurgarritasun horri.
Gainerako zaurgarritasunetarako, identifikatzaile hauek esleitu dira: CVE-2020-6267, CVE-2020-6289, CVE-2020-6290, CVE-2020-6291, CVE-2020-6292, CVE-2020-6281, CVE-2020-6276, CVE-2020-6282, CVE-2020-6278, CVE-2020-6222 eta CVE-2020-6280.
Etiketak: Eguneratzea, SAP, zaurgarritasuna