Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/05/13

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• SAP Application Server ABAP, 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700, 2008_1_710 eta 740 bertsioak;
• SAP Business Client, 6.5 bertsioa;
• SAP Business Objects Business Intelligence Platform (Live Data Connect), 1.0, 2.0 eta 2.x bertsioak;
• SAP Adaptive Server Enterprise (Backup Server), 16.0 bertsioa;
• SAP Business Objects Business Intelligence Platform (CrystalReports WebForm Viewer), 4.1 eta 4.2 bertsioak;
• SAP Adaptive Server Enterprise(Cockpit), 16.0 bertsioa;
• SAP Adaptive Server Enterprise, 16.0 bertsioa;
• SAP Application Server ABAP, 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700, 2008_1_710 eta 740 bertsioak;
• SAP Business Client, 6.5 bertsioa;
• SAP Business Objects Business Intelligence Platform (Live Data Connect), 1.0, 2.0 eta 2.x bertsioak;
• SAP Adaptive Server Enterprise (Backup Server), 16.0 bertsioa;
• SAP Business Objects Business Intelligence Platform (CrystalReports WebForm Viewer), 4.1 eta 4.2 bertsioak;
• SAP Adaptive Server Enterprise (Cockpit), 16.0 bertsioa;
• SAP Adaptive Server Enterprise, 16.0 bertsioa;
• SAP Adaptive Server Enterprise (XP Server on Windows Platform), 15.7 eta 16.0 bertsioak;
• SAP Master Data Governance, honako bertsioak: S4CORE 101; S4FND 102, 103 eta 104; SAP_BS_FND 748;
• SAP Adaptive Server Enterprise (Web Services), 15.7 eta 16.0 bertsioak;
• SAP Business Client, 7.0 bertsioa;
• SAP Adaptive Server Enterprise, 16.0 bertsioa;
• SAP Business Objects Business Intelligence Platform, 4.2 bertsioa;
• SAP Adaptive Server Enterprise, 15.7 eta 16.0 bertsioak;
• SAP Enterprise Threat Detection, 1.0 eta 2.0 bertsioak;
• SAP Master Data Governance, 748, 749, 750, 751, 752, 800, 801, 802, 803 eta 804 bertsioak;
• SAP Business Objects Business Intelligence Platform(CMC eta BI launchpad), 4.2 bertsioa;
• SAP Plant Connectivity, 15.1, 15.2, 15.3 eta 15.4 bertsioak;
• SAP NetWeaver AS ABAP (Web Dynpro ABAP), honako bertsioak: SAP_UI 750, 752, 753 eta 754; SAP_BASIS 700, 710, 730, 731 eta 804;
• SAP Business Objects Business Intelligence Platform, 4.1, 4.2 eta 4.3 baino lehenagoko bertsioak;
• SAP Business Objects Business Intelligence Platform, 4.1, 4.2 eta 4.3 baino lehenagoko bertsioak;
• SAP Identity Management, 8.0 bertsioa.

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

SAPen zerbitzu ataria bisitatzea, eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 18 segurtasun ohar eta 4 eguneraketa eman ditu ezagutzera. Horietatik 6 larritasun kritikokoak dira, 4 larritasun altukoak eta 12 larritasun ertainekoak.

Argitaratutako ahultasun motak honako hauek dira:

• kodearen injekzio erako 3 ahultasun,
• Cross-Site Scripting erako 2 ahultasun,
• zerbitzuaren ukapen erako 2 ahultasun;
• informazioaren zabalkunde erako 3 ahultasun,
• autentifikazio faltako ahultasun 1,
• autentifikazioaren egiaztapen gabeziako 3 ahultasun,
• SQL injection erako 3 ahultasun,
• beste era batzuetako 7 ahultasun.

Segurtasun ohartarazpen nagusiak honi buruzkoak dira:

• Kodea dinamikoki sortzen duen eta urrunetik gaituta izan den funtzio modulu batean sarrera datuak modu nahikoan ez baliozkotzea baliatuz, erasotzaile batek Solution Manager (SolMan) sistema batera konektatuta dagoen SAP NWren edozein ABAP sistemaren kontrol osoa har lezake. Ahultasun horretarako CVE-2020-6262 identifikatzailea erabili da.
• SAP Business Objects Business Intelligence Platform-en (Live Data Connect) 1.0, 2.0 eta 2.x bertsioetan autentifikazioaren egiaztapen falta baliatuz, erasotzaile batek kudeaketaren kontsola nagusian pasahitzik gabe sar liteke, aplikazioen BIPRWS zerbitzaria ziurtagiri bereziren batekin babestuta egongo ez balitz. Ahultasun horretarako CVE-2020-6242 identifikatzailea erabili da.
• SAP Adaptive Server Enterpriseren (Backup Server) 16.0 bertsioak ez ditu egiten beharrezkoak diren baliozkotze egiaztapenak erabiltzaile autentifikatu baten kasuan, DUMP edo LOAD komandoa exekutatzen den bitartean. Hori baliatuz erasotzaile batek kode arbitrarioak exekuta litzake edo kodeak injektatu. Ahultasun horretarako CVE-2020-6248 identifikatzailea erabili da.
• Egoera batzuetan SAP Adaptive Server Enterprise (Cockpit) baliatuz, sare lokalera sarbidea lukeen erasotzaile batek informazio sentikorra eta konfidentziala eskura lezake, eta horrela erabiltzaile kontuen kredentzialak eskura litzake, sistemako datuak manipulatu edo sistemaren eskuragarritasunean eragin. Ahultasun horretarako CVE-2020-6252 identifikatzailea erabili da.

Gainerako ahultasunetarako erabilitako identifikatzaileak honako hauek dira: CVE-2020-6219, CVE-2020-6241, CVE-2020-6243, CVE-2020-6249, CVE-2020-6253, CVE-2020-6244, CVE-2020-6250, CVE-2020-6245, CVE-2020-6259, CVE-2020-6254, CVE-2020-6256, CVE-2020-6257, CVE-2020-6240, CVE-2019-0352, CVE-2019-0352 eta CVE-2020-6258.

Etiketak: Eguneraketa, SAP, Ahultasuna