Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/11/13

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

• SAP Business Client, 6.5 bertsioa;
• SAP Diagnostic Agent (LM-Service), 7.20 bertsioa;
• SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), 4.1 eta 4.2 bertsioak;
• SAP Enable Now, 1908 baino lehenagoko bertsioak;
• S4HANA Sales (S4CORE), 1.0, 1.01, 1.02, 1.03 eta 1.04 bertsioak;
• SAP Treasury and Risk Management (EA-FINSERV), 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18 eta 8.0 bertsioak;
• SAP NetWeaver Application Server Java (J2EE-Framework), 7.1, 7.2, 7.3, 7.31, 7.4 eta 7.5 bertsioak;
• SAP Quality Management (S4CORE), 1.0, 1.01, 1.02 eta 1.03 bertsioak;
• SAP UI 700, 2.0 bertsioa;
• SAP NetWeaver AS Java, 7.10, 7.20, 7.30, 7.31, 7.4 eta 7.5 bertsioak;
• SAP Treasury and Risk Management (S4CORE), 1.01, 1.02, 1.03 eta 1.04 bertsioak.

Azalpena: 

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea: 

SAPen zerbitzu ataria bisitatzea, eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna: 

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 11 segurtasun ohar eta 4 eguneraketa eman ditu ezagutzera. Horietatik 4 larritasun kritikokoak dira, 1 larritasun altukoa eta 10 larritasun ertainekoak.

Argitaratutako ahultasun motak honako hauek dira:

• SQL injection erako ahultasun bat,
• pribilegioen eskalatze erako ahultasun bat;
• sistema eragileko komandoen injekzio erako 3 ahultasun;
• XML egiaztapen gabeziako ahultasun bat;
• baimenaren egiaztapen gabeziako ahultasun bat;
• beste era bateko ahultasun bat.

Segurtasun ohartarazpen nagusiak honi buruzkoak dira:

• Bypass anizkoitz berriak aurkitu dira Linux/Unix-erako definitutako zerrenda zurian. Hori baliatuz erasotzaile batek komando arbitrarioak ezabatu, aldatu edo exekuta litzake eragilean. Ahultasun horretarako CVE-2019-0330 identifikatzailea erabili da.
• XML baliozkotze osagarria txertatu da SAP Business Objects Business Intelligence Platform-en, iturri ez fidagarrietatik datozen XML dokumentuak ez baitziren ondo iragazten asmo gaiztoko edukia antzemateko. Hori baliatuz, erasotzaile batek informazioa heda lezake edo zerbitzuaren ukapen egoera sortu. Ahultasun horretarako CVE-2019-0396 identifikatzailea erreserbatu da.

Gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2019-0385, CVE-2019-0386, CVE-2019-0384, CVE-2019-0389, CVE-2019-0382, CVE-2019-0393, CVE-2019-0390, CVE-2019-0388, CVE-2019-0391 eta CVE-2019-0383.

Etiketak: Eguneraketa, SAP, Ahultasuna