Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

SAPen segurtasun eguneraketa 2018ko urria

Argitalpen data: 2018/10/10

Garrantzia: Handia

Kaltetutako baliabideak:

  • SAP BusinessObjects Business Intelligence Platform, 4.1 eta 4.2 bertsioak.
  • SAP Business Client, 6.5 bertsioa.
  • Proyecto Gardener, 0.12.2 bertsioa.
  • SAP Plant Connectivity, 15.0, 15.1 eta 15.2 bertsioak.
  • SAP Records Management, 7.0tik 7.02ra bitarteko bertsioak, eta 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 eta 7.51.
  • SAP HANA, 1.0 eta 2.0 bertsioak.
  • ABABerako SAP Netweaver Application Server, 7.0tik 7.02ra bitarteko bertsioak, 7.30, 7.31, 7.40, eta 7.50tik 7.53ra.
  • SAP BusinessObjects Business Intelligence Platform, 4.10 eta 4.20 bertsioak.
  • SAP Data Services, 4.2 bertsioa.
  • SAP Plant Connectivity, 15.0 bertsioa.
  • SAP BusinessObjects BI Platform Servers (Software Development Kit), 4.1 eta 4.2 bertsioak.
  • SAP Adaptive Server Enterprise (ASE), 15.7 eta 16.0 bertsioak.
  • SAP Fiori 1.0, SAP ERP HCMrako (Approve Leave Request, 2. bertsioa), 1.0 bertsioa.
  • SAP Fiori 1.0, SAP ERP HCMrako (Approve Leave Request, 2. bertsioa), 1.0 bertsioa.
  • SAP Adaptive Server Enterprise (ASE), 15.7 eta 16.0 bertsioak.

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

SAPen laguntzarako webgunea bisitatu eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 15 segurtasun ohar eman ditu ezagutzera. Horietatik 4 ohar lehenagotik argitaratutako segurtasun oharrei dagozkien eguneraketak dira (horietako bat larritasun kritikokoa, 2 larritasun altukoak eta bat larritasun ertainekoa), 1 larritasun kritikokoa da, beste 2 larritasun altukoak eta beste 8 larritasun ertainekoak.

Argitaratutako ahultasun motak ondokoak dira:

  • Informazio zabalkundeko 3 ahultasun.
  • Chromium nabigatzailearen kontrolerako segurtasun eguneraketen ahultasun bat.
  • Sarearen isolamendu okerreko ahultasun bat.
  • Zerbitzuaren ukazioko ahultasun bat.
  • Pribilegioen aprobetxamenduko ahultasun bat.
  • XMLren balioztatze okerreko 2 ahultasun.
  • Cross-Site Scripting erako 3 ahultasun.
  • Fitxategiaren bidearen zabalkunde erako ahultasun bat.
  • Cross-Site Request Forgery erako 2 ahultasun.

Ahultasun garrantzitsuenak ondokoak dira:

  • SAP BusinessObjects BI Suite-k informazioaren zabalkunde erako ahultasun bat dauka. Erasotzaile batek informazio gehigarria (sistemaren datuak, depurazio informazioa eta abar) ezagutarazteko erabil dezake, horrek sistema ezagutzen lagunduko lioke eta beste eraso batzuk antola litzake. Ahultasun horretarako CVE-2018-2471 identifikatzailea erabili da.
  • Gardener proiektuak sarearen isolamendu okerreko ahultasun bat dauka eta horrek erasotzaile bati ahalbidetuko lioke, shoot cluster batean administratzaile modura jokatuz gero, dagokion seed cluster-a edo seed cluster horrek kontrolatzen dituen beste seed cluster batzuk arriskuan jartzea. Ahultasun horretarako CVE-2018-2475 identifikatzailea erabili da.
  • SAP Plant Connectivity-k (PCo) zerbitzuaren ukapen (DoS) erako ahultasun bat dauka. Horrek erasotzaile bati ahalbidetuko lioke kaltetutako osagaiaren prozesu bat amaitzea. Ahultasun horietarako CVE-2018-12585 eta CVE-2018-12086 identifikatzaileak erabili dira.

SAPen 2018ko urriko hileko txostenean ageri diren gainerako CVE identifikatzaileak honakoak dira: CVE-2018-2465, CVE-2018-2470, CVE-2018-2472, CVE-2018-2466, CVE-2017-12069, CVE-2018-2467, CVE-2018-2469, CVE-2018-2474, CVE-2018-2474 eta CVE-2018-2468.

Etiketak: Eguneraketa, SAP, Ahultasuna