Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

2020ko azaroko SAP segurtasun-eguneratzea

Argitalpen data: 2020/11/11

Garrantzia:  Kritikoa 

Kaltetutako baliabideak: 

  • SAP Solution Manager (JAVA stack eta User Experience Monitoring), 7.2 bertsioa;
  • SAP Data Services, 4.2 bertsioa;
  • SAP AS ABAP(DMIS), 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752 eta 2020 bertsioak;
  • SAP S4 HANA, 100, 101, 102, 103, 104 eta 105 bertsioak;
  • SAP NetWeaver, 7.20, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55 eta 7.82 bertsioak;
  • SAP Fiori Launchpad (News Tile Application), 750, 751, 752, 753, 754 eta 755 bertsioak;
  • SAP Commerce Cloud, 1808, 1811, 1905 eta 2005 bertsioak;
  • BANKING SERVICES FROM SAP 9.0 (Bank Analyzer), 500 bertsioa;
  • S/4HANA FIN PROD SUBLDGR, 100 bertsioa;
  • SAP Process Integration (PGP Module ? Business-to-Business Add On), 1.0 bertsioa;
  • SAP ERP Client, E-Bilanz 1.0 sistemarako, 1.0 bertsioa;
  • SAP ERP, 600, 602, 603, 604, 605, 606, 616, 617 eta 618 bertsioak;
  • SAP 3D Visual Enterprise Viewer, 9. Bertsioa.

Azalpena:

SAPek produktu batzuen inguruan hainbat segurtasun-eguneratze argitaratu ditu, bere hileroko jakinarazpenean.

Konponbidea: 

SAP laguntza bisitatu eta eguneratze edo partxeak instalatzea, fabrikatzaileak adierazitakoaren arabera.

Xehetasuna: 

SAPek, segurtasun-partxeen hileroko komunikazioan, 12 segurtasun ohar eta eguneratze 3 egin ditu. Horietako 6 larritasun kritikokoak dira, 3 handikoak eta 6 tarteko larritasunekoak.

Argitaratutako ahultasun mota berriak honakoekin bat datoz:

  • Egiaztatzea konprobatze faltaren 5 ahultasun,
  • Informazioaren dibulgazioaren arloko 4 ahultasun,
  • Baimenaren konprobatze faltaren 3 ahultasun,
  • Zerbitzu ukapenaren inguruko 2 ahultasun (DoS).
  • Kodearen injekzioaren ahultasun bat.
  • SSOO komandoetako injekzioaren motako ahultasun bat,
  • Kodearen urrutiko exekuzioaren ahultasun 1 (RCE),
  • Beste motaren bateko 4 ahultasun.

Segurtasun ohar nabarmenenak honakoen ingurukoak dira:

  • Baimen faltaren inguruko ahultasun kritiko horiek eragin negatiboa dute LM-Service zerbitzuaren integritate eta eskuragarritasunean, baita horien mendeko lau zerbitzuetan ere. Ahultasun horietarako CVE-2020-26821, CVE-2020-26822, CVE-2020-26823 eta CVE-2020-26824 identifikatzaileak esleitu dira.
  • SAP Solution Manager sistemak ez du baimenik egiaztatzen, beraz, Solution Manager sistemara konektatutako SMDA agente guztiak konprometitu daitezke. Ahultasun horretarako, CVE-2020-6207 identifikatzailea esleitu da.
  • Sarbidea behar bezala egiaztatzen ez bada, baimenik gabeko erasotzaile batek eskaera maltzurrak bidal litzake, eta kodearen urrutiko exekuzioa gerta liteke. Beraz, sistemaren konfidentzialtasuna, integritatea eta eskuragarritasuna konprometitu daitezke. Ahultasun horietarako CVE-2019-0230 eta CVE-2019-0233 identifikatzaileak erreserbatu dira.
  • SAP AS ABAP (DMIS) sistemaren bidez, baimendutako erasotzaile batek kode arbitrarioa injektatu lezake funtzio-moduluan. Horrela izanik, kode-injekzio bat gerta liteke, eta aplikazioan exekutatu. Ondorioz, aplikazioaren isilpekotasuna, eskuragarritasuna eta integritatea kaltetuta geratuko lirateke. Ahultasun horretarako, CVE-2020-26808 identifikatzailea esleitu da.
  • Partxeak SAP NetWeaver Application Server Javako errore bat zuzentzen du. Errore hori baliatuta, SAP sisteman baimendutako erabiltzaileek sistema eragilearen komandoetan gora egin lezakete, eta, beraz, zerbitzu eta informazio pieza bakoitza guztiz konprometitu. Ahultasun horretarako, CVE-2020-26820 identifikatzailea esleitu da.
  • SAP NetWeaver (Knowledge Management) sistemak scriptaren edukiaren exekuzio automatikoa artxibo batean egiteko aukera eman lezake, sartzen den erabiltzailearen pribilegioak oker filtratuz gero. Erabiltzaile horrek administrari pribilegioak baditu, scriptaren edukiaren exekuzioak sistema osoaren konfidentzialtasuna, integritatea eta eskuragarritasuna konprometitu litzake, eta horrek biltegiratutako XSS batera eramango gintuzke. Ahultasun horretarako, CVE-2020-6284 identifikatzailea esleitu da.

Gainerako ahultasunetarako, honako identifikatzaileak erreserbatu dira: CVE-2020-26825, CVE-2020-26809, CVE-2020-26811, CVE-2020-26819, CVE-2020-6311, CVE-2020-26814, CVE-2020-26807, CVE-2020-6316 eta CVE-2020-26817.

Etiketak: Eguneratzea, SAP, Ahultasuna