Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen 2020ko maiatzeko segurtasun eguneraketa

Argitalpen data: 2020/05/13

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SAP Application Server ABAP, 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700, 2008_1_710 eta 740 bertsioak;
  • SAP Business Client, 6.5 bertsioa;
  • SAP Business Objects Business Intelligence Platform (Live Data Connect), 1.0, 2.0 eta 2.x bertsioak;
  • SAP Adaptive Server Enterprise (Backup Server), 16.0 bertsioa;
  • SAP Business Objects Business Intelligence Platform (CrystalReports WebForm Viewer), 4.1 eta 4.2 bertsioak;
  • SAP Adaptive Server Enterprise(Cockpit), 16.0 bertsioa;
  • SAP Adaptive Server Enterprise, 16.0 bertsioa;
  • SAP Application Server ABAP, 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700, 2008_1_710 eta 740 bertsioak;
  • SAP Business Client, 6.5 bertsioa;
  • SAP Business Objects Business Intelligence Platform (Live Data Connect), 1.0, 2.0 eta 2.x bertsioak;
  • SAP Adaptive Server Enterprise (Backup Server), 16.0 bertsioa;
  • SAP Business Objects Business Intelligence Platform (CrystalReports WebForm Viewer), 4.1 eta 4.2 bertsioak;
  • SAP Adaptive Server Enterprise (Cockpit), 16.0 bertsioa;
  • SAP Adaptive Server Enterprise, 16.0 bertsioa;
  • SAP Adaptive Server Enterprise (XP Server on Windows Platform), 15.7 eta 16.0 bertsioak;
  • SAP Master Data Governance, honako bertsioak: S4CORE 101; S4FND 102, 103 eta 104; SAP_BS_FND 748;
  • SAP Adaptive Server Enterprise (Web Services), 15.7 eta 16.0 bertsioak;
  • SAP Business Client, 7.0 bertsioa;
  • SAP Adaptive Server Enterprise, 16.0 bertsioa;
  • SAP Business Objects Business Intelligence Platform, 4.2 bertsioa;
  • SAP Adaptive Server Enterprise, 15.7 eta 16.0 bertsioak;
  • SAP Enterprise Threat Detection, 1.0 eta 2.0 bertsioak;
  • SAP Master Data Governance, 748, 749, 750, 751, 752, 800, 801, 802, 803 eta 804 bertsioak;
  • SAP Business Objects Business Intelligence Platform(CMC eta BI launchpad), 4.2 bertsioa;
  • SAP Plant Connectivity, 15.1, 15.2, 15.3 eta 15.4 bertsioak;
  • SAP NetWeaver AS ABAP (Web Dynpro ABAP), honako bertsioak: SAP_UI 750, 752, 753 eta 754; SAP_BASIS 700, 710, 730, 731 eta 804;
  • SAP Business Objects Business Intelligence Platform, 4.1, 4.2 eta 4.3 baino lehenagoko bertsioak;
  • SAP Business Objects Business Intelligence Platform, 4.1, 4.2 eta 4.3 baino lehenagoko bertsioak;
  • SAP Identity Management, 8.0 bertsioa.

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

SAPen zerbitzu ataria bisitatzea, eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 18 segurtasun ohar eta 4 eguneraketa eman ditu ezagutzera. Horietatik 6 larritasun kritikokoak dira, 4 larritasun altukoak eta 12 larritasun ertainekoak.

Argitaratutako ahultasun motak honako hauek dira:

  • kodearen injekzio erako 3 ahultasun,
  • Cross-Site Scripting erako 2 ahultasun,
  • zerbitzuaren ukapen erako 2 ahultasun;
  • informazioaren zabalkunde erako 3 ahultasun,
  • autentifikazio faltako ahultasun 1,
  • autentifikazioaren egiaztapen gabeziako 3 ahultasun,
  • SQL injection erako 3 ahultasun,
  • beste era batzuetako 7 ahultasun.

Segurtasun ohartarazpen nagusiak honi buruzkoak dira:

  • Kodea dinamikoki sortzen duen eta urrunetik gaituta izan den funtzio modulu batean sarrera datuak modu nahikoan ez baliozkotzea baliatuz, erasotzaile batek Solution Manager (SolMan) sistema batera konektatuta dagoen SAP NWren edozein ABAP sistemaren kontrol osoa har lezake. Ahultasun horretarako CVE-2020-6262 identifikatzailea erabili da.
  • SAP Business Objects Business Intelligence Platform-en (Live Data Connect) 1.0, 2.0 eta 2.x bertsioetan autentifikazioaren egiaztapen falta baliatuz, erasotzaile batek kudeaketaren kontsola nagusian pasahitzik gabe sar liteke, aplikazioen BIPRWS zerbitzaria ziurtagiri bereziren batekin babestuta egongo ez balitz. Ahultasun horretarako CVE-2020-6242 identifikatzailea erabili da.
  • SAP Adaptive Server Enterpriseren (Backup Server) 16.0 bertsioak ez ditu egiten beharrezkoak diren baliozkotze egiaztapenak erabiltzaile autentifikatu baten kasuan, DUMP edo LOAD komandoa exekutatzen den bitartean. Hori baliatuz erasotzaile batek kode arbitrarioak exekuta litzake edo kodeak injektatu. Ahultasun horretarako CVE-2020-6248 identifikatzailea erabili da.
  • Egoera batzuetan SAP Adaptive Server Enterprise (Cockpit) baliatuz, sare lokalera sarbidea lukeen erasotzaile batek informazio sentikorra eta konfidentziala eskura lezake, eta horrela erabiltzaile kontuen kredentzialak eskura litzake, sistemako datuak manipulatu edo sistemaren eskuragarritasunean eragin. Ahultasun horretarako CVE-2020-6252 identifikatzailea erabili da.

Gainerako ahultasunetarako erabilitako identifikatzaileak honako hauek dira: CVE-2020-6219, CVE-2020-6241, CVE-2020-6243, CVE-2020-6249, CVE-2020-6253, CVE-2020-6244, CVE-2020-6250, CVE-2020-6245, CVE-2020-6259, CVE-2020-6254, CVE-2020-6256, CVE-2020-6257, CVE-2020-6240, CVE-2019-0352, CVE-2019-0352 eta CVE-2020-6258.

Etiketak: Eguneraketa, SAP, Ahultasuna