Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Arigtalpen data: 2020/10/15

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• SAP Solution Manager eta SAP Focused Run, 9.7, 10.1, 10.5 eta 10.7 bertsioak;
• SAP Business Client, 6.5 bertsioa;
• SAP NetWeaver, 7.00, 7.01, 7.02, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, 7.51, 7.53 eta 7.55 bertsioak;
• SAP Business Objects Business Intelligence Platform, 4.1, 4.2 eta 4.3 bertsioak;
• SAP Landscape Management, 3.0 bertsioa;
• SAP Adaptive Extensions, 1.0 bertsioa;
• SAP 3D Visual Enterprise Viewer, 9 bertsioa;
• SAP Commerce Cloud, 1808, 1811, 1905 eta 2005 bertsioak;
• SAP Business Planning y Consolidation, 750, 751, 752, 753, 754, 755, 810, 100 eta 200 bertsioak;
• SAP ERP (HCM Travel Management); 600, 602, 603, 604, 605, 606, 607 eta 608 bertsioak;
• SAP Banking Services, 500 bertsioa.

Azalpena:

SAPek produktu batzuen inguruan hainbat segurtasun-eguneratze argitaratu ditu, bere hileroko jakinarazpenean.

Konponbidea:

SAP laguntza-eremua bisitatu eta eguneratze edo partxeak instalatzea, fabrikatzaileak adierazitakoaren arabera.

Xehetasunak:

SAPek, segurtasun-partxeen hileroko komunikazioan, 15 segurtasun ohar eta eguneratze 6 egin ditu. Horietako 2 larritasun kritikokoak dira, 7 altukoa, 11 tartekoak eta 1 baxukoa.

Argitaratutako ahultasun mota berriak honakoekin bat datoz:

• XSS motako 6 ahultasun  (Cross-Site Scripting),
• Informazioaren dibulgazioaren arloko 3 ahultasun,
• Kodearen injekzioaren kontrol ahultasun bat,
• Baimen konprobatze faltaren ahultasun bat,
• XML balioztatze faltaren ahultasun bat,
• Kredentzial barneratuen ahultasun bat,
• SSOO komandoetako injekzioaren motako ahultasun bat,
• Beste motaren bateko 12 ahultasun.

Segurtasun ohar nabarmenenak honakoen ingurukoak dira:

• Ahultasun horren bidez, erasotzaile batek sistema eragilearen komandoak injektatu litzake eta CA Introscope Enterprise Manager exekutatzen duen host osoaren kontrola eskuratu. Ahultasun horretarako, CVE-2020-63640 identifikatzailea esleitu da.
• 2018ko apirileko segurtasun-oharra eguneratzea, SAP Business Client sistemarekin entregatutako Google Chromium nabigatzailearen kontrolerako.

Gainerako ahultasunetarako, honako identifikatzaileak erreserbatu dira: CVE-2020-6296, CVE-2020-6367, CVE-2020-6366, CVE-2020-6369, CVE-2020-6309, CVE-2020-6237, CVE-2020-6236, CVE-2020-6319, CVE-2020-6315, CVE-2020-6372, CVE-2020-6373, CVE-2020-6374, CVE-2020-6375, CVE-2020-6376, CVE-2020-6272, 6368, CVE-2020-6301, CVE-2020-6308, CVE-2020-6370, CVE-2020-6365, CVE-2020-6323, CVE-2020-6371, CVE-2020-6362 eta CVE-2020-6363.

Etiketak: Eguneratzea, SAP, Ahultasuna