Argitalpen data: 2018/09/12
Garrantzia: Handia
Kaltetutako baliabideak:
Azalpena:
SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.
Konponbidea:
SAPen laguntzarako webgunea bisitatu eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.
Xehetasuna:
SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 14 segurtasun ohar eman ditu ezagutzera. Horietatik ohar 1 lehenagotik argitaratutako segurtasun ohar bati dagokion eguneraketa da, beste 3 larritasun altukoak dira, 9 larritasun ertainekoak eta beste 1 larritasun baxukoa.
Argitaratutako ahultasun motak ondokoak dira:
Ahultasun garrantzitsuenak ondokoak dira:
· SAP Business ONEk eta SAP HANAk duten informazioaren zabalkunde erako ahultasuna baliatuz, erasotzaile batek informazio gehigarria zabal lezake (sistemaren datuak, depurazio informazioa eta abar), eta horrek sistemari buruzko ezagupenak lortzen lagundu lezake beste eraso batzuk prestatzeko. Horren ondorioz informazioaren zabalkundea, pribilegioen eskalatzea eta beste eraso batzuk gerta litezke. CVE-2018-2458 kodea esleitu zaio ahultasun horri.
· Erasotzaile batek SAP BEx Web Java Runtime Export Web Service-k duen XMLren balioztatze okerreko ahultasuna balia lezake bereziki diseinatutako eta baimendu gabeko XML eskaerak bidaltzeko, XML analizatzaileak prozesatuko lituzkeenak. Horrela erasotzaileak Sistema Eragileko fitxategien sistemara baimendu gabeko sarbidea lortuko luke. CVE-2018-2462 kodea esleitu zaio ahultasun horri.
· SAP ECC Sales Supportek duen baimenaren egiaztapen gabeziako ahultasun bat baliatuz, erasotzaile batek zerbitzu batera sarbidea lor lezake baimenaren beharrik gabe eta sarbide mugatuko zerbitzu funtzioak erabili behar izan gabe. Horren ondorioz informazioaren zabalkundea, pribilegioen eskalatzea eta beste eraso batzuk gerta litezke.
Etiketak: Eguneraketa, SAP, Ahultasuna