Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen 2019ko maiatzeko segurtasun eguneraketa

Argitalpen data: 2019/05/15

Garrantzia: Handia

Kaltetutako baliabideak: 

  • SAP Identity Management (REST Interface), 2 bertsioa
  • SAP BusinessObjects Business Intelligence platform (Central Management Server), 4.20 eta 4.30 bertsioak
  • SAP Treasury and Risk Management, versiones 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 617, 6.18, 8.0
  • SAP E-Commerce (Business-to-Consumer), (SAP-CRMJAV SAP-CRMWEB SAP-SHRWEB SAP-SHRJAV SAP-CRMAPP SAP-SHRAPP) 7.30, 7.31, 7.32, 7.33, 7.54 bertsioak
  • SAP BusinessObjects Business Intelligence Platform, 4.2, 4.3 bertsioak
  • Web Dynpro Java, 6.40, 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 bertsioak
  • SAP Solution Manager system (ST-PI), 2008_1_700, 2008_1_710 eta 740 bertsioak
  • Software Component - KRNL32NUC, 7.20 eta 7.20EXT bertsioak
  • Software Component - KRNL32UC, 7.20 eta 7.20EXT bertsioakSoftware Component - KRNL64NUC, 7.20 eta 7.20EXT bertsioak
  • Software Component - KRNL64UC, 7.20, 7.2L, 7.20EXT eta 8.00 bertsioak
  • Software Component - KERNEL, 7.20, 7.2L eta 8.00 bertsioak
  • Software Component - SAP BASIS, honako bertsioak: 46D, 6.40, 7.00tik 7.02ra, 7.10, 7.30, 7.31 eta 7.40
  • Dbpool of AS JAVA, 6.40, 7.00, 7.01, 7.10, 7.11, 7.20, 7.30, 7.31 eta 7.40 bertsioak
  • Dbpool of AS JAVA, 6.40, 7.00, 7.01, 7.10, 7.11, 7.20, 7.30, 7.31 eta 7.40 bertsioak
  • Solution Manager, 7.2 bertsioa
  • SAP Enterprise Financial Services, honako bertsioak: SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03; EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0, eta Bank/CFM 4.63_20

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

  • SAPen zerbitzu ataria bisitatzea eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 7 segurtasun ohar eta 6 eguneraketa eman ditu ezagutzera. Horietatik 1 larritasun altukoa da eta beste 13 kritikotasun ertainekoak.

Argitaratutako ahultasun motak honako hauek dira:

  • Baimenaren egiaztapen gabeziako 5 ahultasun.
  • Informazio zabalkundeko 5 ahultasun.
  • Pribilegioen eskalatze erako ahultasun bat.
  • Beste era batzuetako 2 ahultasun.

Larritasun altuko segurtasun oharra honi buruzkoa da:

  • Erabiltzaileek batzuetan funtzioen edo pribilegioen esleipenak aldatzea eska dezakete SAP Identity Management-en REST interfazeko 2. bertsioaren bidez, soilik bistaratzeko murrizturik egon beharko lukeena. Ahultasun horretarako CVE-2019-0301 identifikatzailea erabili da.

Gainerako ahultasunetarako erabilitako identifikatzaileak honako hauek dira: CVE-2019-0287, CVE-2019-0280, CVE-2019-0298, CVE-2019-0289, CVE-2019-0293, CVE-2019-0291 eta CVE-2018-2484.

Etiketak: Eguneraketa, SAP, Ahultasuna