Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen segurtasun eguneraketa 2018ko azaroa

Argitalpen data: 2018/11/14

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SAP HANA Streaming Analytics, 2.0 bertsioa
  • SAP Fiori Client
  • Project "Gardener", 0.12.4 bertsioa
  • SAP Disclosure Management, 10.x bertsioak
  • SAP BusinessObjects BI Platform Server, 4.1 eta 4.2 bertsioak
  • SAP_ABA, 7.00tik 7.02ra bitarteko bertsioak, 7.10etik 7.11ra bitartekoak, 7.30, 7.31, 7.40, 7.50 eta 75Ctik 75Dra bitartekoak
  • SAP_ABA, 7.00tik 7.02ra bitarteko bertsioak, 7.10etik 7.11ra bitartekoak, 7.30, 7.31, 7.40, 7.50 eta 75Ctik 75Dra bitartekoak
  • Knowledge Management (XMLForms) in SAP NetWeaver, 7.30, 7.31, 7.40tik 7.50era bitarteko bertsioak
  • SAP BusinessObjects Business Intelligence, 4.1 eta 4.2 bertsioak
  • SAP BusinessObjects Business Intelligence Platform (BIWorkspace), 4.1 eta 4.2 bertsioak
  • SAP NetWeaver AS ABAP Business Server Pages
  • SAP NetWeaver (forums), 7.30, 7.31 eta 7.40 bertsioak
  • SAP BusinessObjects Business Intelligence Platform, 4.1 eta 4.2 bertsioak
  • SAP Mobile Secure Android Application, 6.60.19942.0 bertsioa

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

SAPen laguntzarako webgunea bisitatu eta fabrikatzaileak adierazten dituen beharrezko eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 11 segurtasun ohar eta 3 eguneraketa eman ditu ezagutzera. Horietatik 1 larritasun kritikokoa da, 5 larritasun altukoak eta beste 8 larritasun ertainekoak.

Argitaratutako ahultasun motak ondokoak dira:

  • Kode injekzioko ahultasun bat.
  • Cross-site scripting erako 2 ahultasun.
  • Zerbitzuaren ukapeneko 2 ahultasun.
  • XMLren balioztatze okerreko ahultasun bat.
  • URLen birbideratze erako ahultasun bat.
  • Beste era batzuetako 7 ahultasun.

Kritikotzat kalifikatutako segurtasun oharra honi buruzkoa da:

  • SAP HANA Streaming Analytics-ek duen ahultasuna baliatuz erasotzaile batek kodea exekuta lezake urrunetik, hori exekutatzen duen zerbitzuaren baimen berdinekin. Horrela, SAP zerbitzariaren fitxategien sistema batean kokatuta dauden fitxategi eta direktorio arbitrarioetara sarbidea lor lezake, baita aplikazioaren iturburu kodera, konfiguraziora eta sistemaren fitxategi kritikoetara ere. Horrek ahalbidetuko lioke SAP sistema ahulean gordeta dagoen informazio kritikoa eskuratzea, bai teknikoa eta bai negozioari buruzkoa.

Larritasun altuko ahultasunak aldiz, era honetakoak dira: zerbitzuaren ukapena, baimenaren egiaztapen falta eta cross-site scripting.

Etiketak: Eguneraketa, SAP, Ahultasuna