Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/06/10

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• SAP Liquidity Management for Banking, 6.2 bertsioa;
• SAP Commerce, 6.7, 1808, 1811 eta 1905 bertsioak;
• SAP Commerce (Data Hub), 6.7, 1808, 1811 eta 1905 bertsioak;
• SAP Commerce, 6.7, 1808, 1811 eta 1905 bertsioak;
• SAP Solution Manager (Problem Context Manager), 7.2 bertsioa;
• SAP SuccessFactors Recruiting, 2005 bertsioa;
• SAP Netweaver AS ABAP, 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 eta 754 bertsioak;
• SAP NetWeaver AS JAVA (P4 Protocol), bertsioak: 
• • SAP-JEECOR 7.00 eta 7.01;
  • SERVERCOR 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50;
  • CORE-TOOLS 7.00, 7.01, 7.02, 7.05, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50;
• SAP NetWeaver AS ABAP (Banking Services), 710, 711, 740, 750, 751, 752, 75A, 75B, 75C, 75D eta 75E bertsioak;
• SAP Solution Manager (Trace Analysis), 7.20 bertsioa;
• Adobe LiveCycle Designer, 11.0 bertsioa;
• SAP NetWeaver AS ABAP (Business Server Pages Test Application SBSPEXT_TABLE), 700, 701, 702, 730, 731, 740, 750, 751, 752, 753 eta 754 bertsioak;
• SAP Fiori for SAP S/4HANA, 200, 300, 400 eta 500 bertsioak;
• SAP ERP (Statutory Reporting for Insurance Companies), EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618 eta 800, eta S4CORE 101, 102, 103 eta 104 bertsioak;
• SAP Business One(Backup service), 9.3 eta 10.0 bertsioak;
• SAP Gateway, 7.40, 2.00, 7.5, 7.51, 7.52 eta 7.53 bertsioak;
• SAP Business Objects Business Intelligence Platform, 4.2 bertsioa.

Azalpena:

SAPek produktu batzuen inguruan hainbat segurtasun-eguneratze argitaratu ditu, bere hileroko jakinarazpenean.

Konponbidea:

• SAPen laguntzarako ataria bisitatu eta eguneratze edo partxeak instalatzea, fabrikatzaileak adierazitakoaren arabera.
• CVE-2020-6265 ahultasunerako emandako partxeak SAP Commerce (Data Hub) instalazio berriei soilik eragiten die, ez ditu dauden instalazioetan sartutako kontuetako pasahitz aurrez ezarriak kentzen, beraz, fabrikatzaileak proposatzen du partxea aplikatu ostean SAP Commerce instalazioa berrabiaraztea.
• CVE-2020-1938 ahultasunerako, Ghostcat izeneko Apache Tomcat-eko ahultasun ezagun baten ondorioz, SAP-ek biziki gomendatzen du Apache JServ protokoloa erabiltzen duten portu guztiak desaktibatzea (AJP protokoloa). Bezeroek protokolo hori behar izatekotan, AJP konektorearen konfigurazioan eskatzen den atributu sekretua ezartzea gomendatzen da.

Xehetasuna:

SAPek 17 segurtasun ohar eta eguneratze 1 egin ditu bere hileroko jakinarazpenean. Horietako 2 larritasun kritikokoak dira, 4 altukoak eta 12 tartekoak.

Argitaratutako ahultasun mota berriak honakoekin bat datoz:s:

• Cross-site scripting delakoaren ahultasun bat.
• Kredentzial barneratuen ahultasun bat.
• Informazioaren dibulgazioaren arloko 3 ahultasun.
• Egiaztatze faltaren arloko ahultasun bat,
• Egiaztatzea konprobatzeko faltaren 3 ahultasun,
• XML balioztatze faltako 3 ahultasun,
• URL helbideko 2 ahultasun,
• Beste motaren bateko 6 ahultasun.

Beste motaren bateko 6 ahultasun.:

• SAP Commerce and SAP Commerce Data Hub produktuek erabiltzaile kontu batzuk erabiltzen dituzte; pasahitzak publikoki ezagunak dira eta administrariek ez dute pasahitz horiek aldatzeko betebeharrik aplikazioa instalatu bitartean edo ostean. Ahultasun horretarako, CVE-2020-6265 identifikatzailea erreserbatu da.
• AJP konexioak ustiatzeko, urrutiko erasotzaile batek kode exekuzioa eta bestelako eragiketa batzuk baimendu litzake. Ahultasun horretarako, CVE-2020-1938 identifikatzailea esleitu da.
• Propietate batzuen konfigurazio espezifikoarekin, erasotzaile batek ezaugarri ez seguruak ustiatu litzake saioa hasteko formularioan, eta lortutako informazioa beste exploit eta eraso batzuetarako erabil liteke etorkizunean. Propietate horietako batzuk berez konfiguratuta daude. Ahultasun horretarako CVE-2020-6264 kodea erreserbatu da.

Etiketak: Eguneraketa, SAP, Ahultasuna