Arigtalpen data: 2020/10/15
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- SAP Solution Manager eta SAP Focused Run, 9.7, 10.1, 10.5 eta 10.7 bertsioak;
- SAP Business Client, 6.5 bertsioa;
- SAP NetWeaver, 7.00, 7.01, 7.02, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, 7.51, 7.53 eta 7.55 bertsioak;
- SAP Business Objects Business Intelligence Platform, 4.1, 4.2 eta 4.3 bertsioak;
- SAP Landscape Management, 3.0 bertsioa;
- SAP Adaptive Extensions, 1.0 bertsioa;
- SAP 3D Visual Enterprise Viewer, 9 bertsioa;
- SAP Commerce Cloud, 1808, 1811, 1905 eta 2005 bertsioak;
- SAP Business Planning y Consolidation, 750, 751, 752, 753, 754, 755, 810, 100 eta 200 bertsioak;
- SAP ERP (HCM Travel Management); 600, 602, 603, 604, 605, 606, 607 eta 608 bertsioak;
- SAP Banking Services, 500 bertsioa.
Azalpena:
SAPek produktu batzuen inguruan hainbat
segurtasun-eguneratze argitaratu ditu, bere hileroko jakinarazpenean.
Konponbidea:
SAP laguntza-eremua bisitatu eta
eguneratze edo partxeak instalatzea, fabrikatzaileak adierazitakoaren arabera.
Xehetasunak:
SAPek, segurtasun-partxeen hileroko
komunikazioan, 15 segurtasun ohar eta eguneratze 6 egin ditu. Horietako 2
larritasun kritikokoak dira, 7 altukoa, 11 tartekoak eta 1 baxukoa.
Argitaratutako ahultasun mota berriak
honakoekin bat datoz:
- XSS motako 6 ahultasun (Cross-Site Scripting),
- Informazioaren dibulgazioaren arloko 3 ahultasun,
- Kodearen injekzioaren kontrol ahultasun bat,
- Baimen konprobatze faltaren ahultasun bat,
- XML balioztatze faltaren ahultasun bat,
- Kredentzial barneratuen ahultasun bat,
- SSOO komandoetako injekzioaren motako ahultasun bat,
- Beste motaren bateko 12 ahultasun.
Segurtasun ohar nabarmenenak honakoen
ingurukoak dira:
- Ahultasun horren bidez, erasotzaile batek sistema eragilearen komandoak injektatu litzake eta CA Introscope Enterprise Manager exekutatzen duen host osoaren kontrola eskuratu. Ahultasun horretarako, CVE-2020-63640 identifikatzailea esleitu da.
- 2018ko apirileko segurtasun-oharra eguneratzea, SAP Business Client sistemarekin entregatutako Google Chromium nabigatzailearen kontrolerako.
Gainerako ahultasunetarako, honako
identifikatzaileak erreserbatu dira: CVE-2020-6296, CVE-2020-6367,
CVE-2020-6366, CVE-2020-6369, CVE-2020-6309, CVE-2020-6237, CVE-2020-6236,
CVE-2020-6319, CVE-2020-6315, CVE-2020-6372, CVE-2020-6373, CVE-2020-6374,
CVE-2020-6375, CVE-2020-6376, CVE-2020-6272, 6368, CVE-2020-6301,
CVE-2020-6308, CVE-2020-6370, CVE-2020-6365, CVE-2020-6323, CVE-2020-6371,
CVE-2020-6362 eta CVE-2020-6363.
Etiketak: Eguneratzea, SAP, Ahultasuna