Argitalpen data: 2019/11/13
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- SAP Business Client, 6.5 bertsioa;
- SAP Diagnostic Agent (LM-Service), 7.20 bertsioa;
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), 4.1 eta 4.2 bertsioak;
- SAP Enable Now, 1908 baino lehenagoko bertsioak;
- S4HANA Sales (S4CORE), 1.0, 1.01, 1.02, 1.03 eta 1.04 bertsioak;
- SAP Treasury and Risk Management (EA-FINSERV), 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18 eta 8.0 bertsioak;
- SAP NetWeaver Application Server Java (J2EE-Framework), 7.1, 7.2, 7.3, 7.31, 7.4 eta 7.5 bertsioak;
- SAP Quality Management (S4CORE), 1.0, 1.01, 1.02 eta 1.03 bertsioak;
- SAP UI 700, 2.0 bertsioa;
- SAP NetWeaver AS Java, 7.10, 7.20, 7.30, 7.31, 7.4 eta 7.5 bertsioak;
- SAP Treasury and Risk Management (S4CORE), 1.01, 1.02, 1.03 eta 1.04 bertsioak.
Azalpena:
SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.
Konponbidea:
SAPen zerbitzu ataria bisitatzea, eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.
Xehetasuna:
SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 11 segurtasun ohar eta 4 eguneraketa eman ditu ezagutzera. Horietatik 4 larritasun kritikokoak dira, 1 larritasun altukoa eta 10 larritasun ertainekoak.
Argitaratutako ahultasun motak honako hauek dira:
- SQL injection erako ahultasun bat,
- pribilegioen eskalatze erako ahultasun bat;
- sistema eragileko komandoen injekzio erako 3 ahultasun;
- XML egiaztapen gabeziako ahultasun bat;
- baimenaren egiaztapen gabeziako ahultasun bat;
- beste era bateko ahultasun bat.
Segurtasun ohartarazpen nagusiak honi buruzkoak dira:
- Bypass anizkoitz berriak aurkitu dira Linux/Unix-erako definitutako zerrenda zurian. Hori baliatuz erasotzaile batek komando arbitrarioak ezabatu, aldatu edo exekuta litzake eragilean. Ahultasun horretarako CVE-2019-0330 identifikatzailea erabili da.
- XML baliozkotze osagarria txertatu da SAP Business Objects Business Intelligence Platform-en, iturri ez fidagarrietatik datozen XML dokumentuak ez baitziren ondo iragazten asmo gaiztoko edukia antzemateko. Hori baliatuz, erasotzaile batek informazioa heda lezake edo zerbitzuaren ukapen egoera sortu. Ahultasun horretarako CVE-2019-0396 identifikatzailea erreserbatu da.
Gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2019-0385, CVE-2019-0386, CVE-2019-0384, CVE-2019-0389, CVE-2019-0382, CVE-2019-0393, CVE-2019-0390, CVE-2019-0388, CVE-2019-0391 eta CVE-2019-0383.
Etiketak: Eguneraketa, SAP, Ahultasuna