Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen 2019ko ekaineko segurtasun eguneraketa

Argitalpen data: 2019/06/12

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • SAP Business Client, 6.5 bertsioa
  • Solution Manager, 7.2 bertsioa
  • SAP E-Commerce (Business-to-Consumer application), honako bertsioak: SAP-CRMJAV, SAP-CRMWEB, SAP-SHRWEB, SAP-SHRJAV, SAP-CRMAPP, SAP-SHRAPP 7.30, 7.31, 7.32, 7.33, 7.54
  • SAP R/3 Enterprise Application, honako bertsioak: EA-APPL 600, 602, 603, 604, 605, 606, 616, 617
  • SAP BusinessObjects Business Intelligence Platform (Administration Console), 4.2, 4.3 bertsioak
  • SAP NetWeaver Process Integration (PI Integration Builder Web UI), honako bertsioak: SAP_XIESR: 7.10etik 7.11ra bitartekoak, 7.20, 7.30, 7.31, 7.40, 7.50; SAP_XITOOL: 7.10etik 7.11ra bitartekoak, 7.30, 7.31, 7.40, 7.50, SAP_XIPCK 7.10etik 7.11ra bitartekoak, 7.20, 7.3
  • SAP Work Manager and SAP Inventory Manager, SAP Work Manager-en 6.3.0, 6.4.0, 6.5 bertsioak 
  • SAP NetWeaver AS ABAP Platform, honako bertsioak: KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73, KERNEL 7.21, 7.45, 7.49, 7.53, 7.73
  • SAP NetWeaver Process Integration, versiones SAP_XIESR-en honako bertsioak: 7.10etik 7.11ra bitartekoak, 7.20, 7.30, 7.31, 7.40, 7.50; SAP_XITOOL: 7.10etik 7.11ra bitartekoak, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP HANA Extended Application Services (advanced model), 1 bertsioa
  • SAP Enterprise Financial Services, honako bertsioak: SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0; Bank/CFM 4.63_20

Azalpena: 

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea: 

  • SAPen zerbitzu ataria bisitatzea eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.
  • Larritasun altuko ahultasuna konpontzeko fabrikatzailearen oharra kontuan hartzea gomendatzen da. Bertan hainbat urrats zehazten dira: batetik, nola instalatu behar den ahultasuna konpontzen duen softwarea, bestetik, aldez aurretik aplikatu behar diren SAPen beste segurtasun oharrekiko mendekotasunak, eta azkenik, kredentzialak modu egokian babesteko eta zifratzeko nola egin behar den urratsez urrats.

Xehetasuna: 

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 11 segurtasun ohar eta 3 eguneraketa eman ditu ezagutzera. Horietatik 1 larritasun kritikokoa da, 1 larritasun altukoa, 11 larritasun ertainekoak eta 1 larritasun baxukoa.

Argitaratutako ahultasun motak honako hauek dira:

  • Baimenaren egiaztapen gabeziako 5 ahultasun.
  • Informazio zabalkundeko 5 ahultasun..
  • Pribilegioen eskalatze erako ahultasun bat.
  • Beste era batzuetako 2 ahultasun

Kritikotzat eta altutzat kalifikatutako segurtasun oharrak honi buruzkoak dira:

  •  SAP Business Client exekutatzen ari denean zaharkituta dagoen Chromium batean, erasotzaile   batek bere erabiltzaile baterako sarbidea lor lezake asmo gaiztoko Javascript kodea   exekutatzeko. Ustiatua izaten ari den Chromium ahultasunaren baitan dago benetako eragina.
  • Ahultasun bat baliatuz, erasotzaile batek baliagarriak diren erabiltzaile kredentzialak eskura litzake, eta erabiltzaile kontu pribilegiatuak sortzeko gaitasuna eskuratu. Horrek eragin handia dauka konfidentzialtasunean. Larritasun altuko ahultasun horretarako CVE-2019-0291 identifikatzailea erabili da.

Gainerako ahultasunetarako erabilitako identifikatzaileak honako hauek dira: CVE-2019-0308, CVE-2019-0311, CVE-2019-0303, CVE-2019-0315, CVE-2019-0314, CVE-2019-0304, CVE-2018-0312, CVE-2019-0316, CVE-2019-0305, CVE-2019-0306, CVE-2019-2484 eta CVE-2019-0307.

Etiketak: Eguneraketa, SAP, Ahultasuna