Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

2021eko iraileko SAP segurtasun-eguneraketak

Argitalpen-data: 2021/09/15

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SAP Business Client, 6.5, 7.0 eta 7.70 bertsioak;
  • SAP NetWeaver Application Server Java (JMS Connector Service), 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50 bertsioak;
  • SAP Business One, 10.0 bertsioa;
  • SAP S/4HANA, 1511, 1610, 1709, 1809, 1909, 2020 eta 2021 bertsioak;
  • SAP LT Replication Server, 2.0 eta 3.0 bertsioak;
  • SAP LTRS for S/4HANA, 1.0 bertsioa;
  • SAP Test Data Migration Server, 4.0 bertsioa;
  • SAP Landscape Transformation, 2.0 bertsioa;
  • SAP NetWeaver (Visual Composer 7.0 RT), 7.30, 7.31, 7.40 eta 7.50 bertsioak;
  • SAP NetWeaver Knowledge Management XML Forms, 7.10, 7.11, 7.30, 7.31, 7.40 eta 7.50 bertsioak;
  • SAP Contact Center, 700 bertsioak;
  • SAP Web Dispatcher:
    • WEBDISP, 7.49, 7.53, 7.77 eta 7.81 bertsioak;
    • KRNL64NUC, 7.22, 7.22EXT eta 7.49 bertsioak;
    • KRNL64UC, 7.22, 7.22EXT, 7.49 eta 7.53 bertsioak;
    • KERNEL, 7.22, 7.49, 7.53, 7.77, 7.81 eta 7.83 bertsioak;
  • SAP Analysis for Microsoft Office, 2.8 bertsioa;
  • SAP BusinessObjects Business Intelligence Platform (BI Workspace), 420 bertsioa;
  • SAP ERP Financial Accounting (RFOPENPOSTING_FR):
    • SAP_APPL, 600, 602, 603, 604, 605, 606 eta 616 bertsioak;
    • SAP_FIN, 617, 618, 700, 720 eta 730 bertsioak;
    • SAPSCORE, 125, S4CORE, 100, 101, 102, 103, 104 eta 105 bertsioak;
  • SAP NetWeaver Enterprise Portal, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50 bertsioak;
  • SAP 3D Visual Enterprise Viewer, 9.0 bertsioak.

Deskribapena:

SAPek hainbat produktutarako segurtasun-eguneraketak argitaratu ditu bere hileroko jakinarazpenean.

Konponbidea:

SAPen laguntza ataria bisitatu eta segurtasun partxeak edo eguneratzeak instalatzea, fabrikatzailearen jarraibideen arabera.

Xehetasuna:

SAPek, segurtasun-partxeei buruzko hileroko jakinarazpenean, 17 segurtasun-ohar eta aurreko oharretako 2 eguneratze argitaratu ditu; 7 larritasun kritikokoak dira, 2 larritasun handikoak eta 10 tarteko larritasunekoak.

Argitaratutako ahultasun motak honakoekin bat datoz:

  • Kodearen injekzio motako ahultasun bat,
  • 4 XSS ahultasun (Cross-Site Scripting),
  • Informazio-errebelazio motako 3 ahultasun,
  • Egiaztatzea konprobatze-faltaren 2 ahultasun,
  • SO komandoen injekzioaren motako 2 ahultasun,
  • SQL injekzioaren motako 2 ahultasun,
  • Mugatu gabeko artxibo-igoeraren motako 2 ahultasun,
  • Beste motako bateko 6 ahultasun.

Segurtasun-ohar garrantzitsuenak honakoei dagozkio:

  • SAP NetWeaver Application Server Java (JMS Connector Service): egiaztatzearen konprobatze faltaren motako ahultasun bat zuzendu da. Horren bidez, erasotzaile batek datu mugatuak irakurri, aldatu edo ezabatu litezke. CVE-2021-37535 identifikatzailea esleitu da larritasun kritiko horretarako.
  • SAP NetWeaver Knowledge Management: zuzendu den ahultasunaren bidez, erasotzaile batek, baimenik gabe eta administrari pribilegiorik gabe, kodearen injekzioa burutu lezake. CVE-2021-37531 identifikatzailea esleitu da ahultasun kritiko horretarako.
  • SAP NetWeaver (Visual Composer 7.0 RT): mugatu gabeko artxibo-igoeraren motako ahultasuna zuzendu da. Horren bidez, administrari pribilegiorik gabeko erasotzaile batek pribilegioetan gora egin lezake, zerbitzariko informazioa irakurri edo aldatzeko, edo zerbitzuaren ukapena eragiteko. CVE-2021-38163 identifikatzailea esleitu da ahultasun kritiko horretarako.
  • SAP Contact Center: SO eta XSS islatuko komandoen injekzio motako ahultasunak zuzendu dira. Horien bidez, aplikazioaren konfidentzialtasuna, integritatea eta eskuragarritasuna konprometitu liteke, txat mezu batean script maltzur bat injektatuz eta ActiveX kontrolak aprobetxatuz. CVE-2021-33672 identifikatzailea esleitu da ahultasun kritiko horietarako.
  • SAP NZDT Mapping Table Framework: SQL injekzio motako ahultasun bat zuzendu da. Horren bidez, erasotzaile batek, baimenarekin eta pribilegioekin, kontsulta manipulatuak burutu litzake backend datu-basera sartzeko. Ahultasun kritiko horretarako CVE-2021-38176 kodea esleitu da.

Gainerako ahultasunetarako identifikatzaile hauek esleitu dira: CVE-2021-33698, CVE-2021-38162, CVE-2021-38177, CVE-2021-33685, CVE-2021-38175, CVE-2021-38150, CVE-2021-33679, CVE-2021-38164, CVE-2021-33686, CVE-2021-21489, CVE-2021-33688, CVE-2021-37532 eta CVE-2021-38174.

Etiketak: 0day, Eguneratzea, SAP, Ahultasuna