Skip to main content

Argitalpen data: 2021/01/13

Garrantzia:Kritikoa

Kaltetutako baliabideak:

  • SAP Business Client, 6.5 bertsioa;
  • SAP Business Warehouse, bertsioak: 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 eta 782;
  • SAP BW4HANA, bertsioak: 100 eta 200;
  • SAP NetWeaver AS JAVA, bertsioak: 7.10, 7.30, 7.31, 7.40 eta 7.50;
  • Automated Note Search Tool (SAP Basis), bertsioak: 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 eta 7.54;
  • SAP NetWeaver AS Java (HTTP Service), bertsioak: 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50;
  • SAP Commerce Cloud, bertsioak: 1808, 1811, 1905, 2005 eta 2011;
  • SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface), 410 eta 420 bertsioak;
  • SAP Master Data Governance, bertsioak: 748, 749, 750, 751, 752, 800, 801, 802, 803 eta 804;
  • SAP NetWeaver AS JAVA (Key Storage Service), bertsioak: 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 eta 7.50;
  • SAP GUI FOR WINDOWS, 7.60 bertsioa;
  • SAP NetWeaver Master Data Management, bertsioak: 7.10, 7.10.750 eta 710;
  • SAP 3D Visual Enterprise Viewer, 9.0 bertsioa;
  • SAP Banking Services (Generic Market Data), 400, 450 eta 500 bertsioak;
  • SAP EPM ADD-IN, 2.8 eta 1010 bertsioak;

Azalpena:

SAPek produktu batzuen inguruan hainbatsegurtasun-eguneratze argitaratu ditu, bere hileroko jakinarazpenean.

Konponbidea:

SAPlaguntza-zerbitzua bisitatu eta eguneratze edo partxeak instalatzea,fabrikatzaileak adierazitakoaren arabera.

CVE-2021-21465 ahultasunerako, SAPerakundeak funtzioen modulua desaktibatuz konpondu du arazoa, beraz, moduluhorretara deia egiten duen edozein aplikaziori eragingo dio.

Xehetasunak:

SAPek, segurtasun-partxeen hilerokokomunikazioan, aurreko oharren 7 eguneratze eta 10 segurtasun ohar egin ditu.Horietako 5 larritasun kritikokoak dira, 1 altukoa, 10 tartekoak eta 1 baxukoa.

Argitaratutako ahultasun mota berriakhonakoekin bat datoz:

  • Kodearen injekzioaren 2 ahultasun,
  • Zerbitzu ukapenaren inguruko ahultasun bat,
  • Informazioaren dibulgazioaren arloko 3 ahultasun,
  • Baimenaren konprobatze faltaren 4 ahultasun,
  • Sarbide-balioztatze ezaren motako 16 ahultasun,
  • SQL injekzio arloko ahultasun bat,
  • Beste motaren bateko 6 ahultasun.

Segurtasun ohar nabarmenenak honakoeningurukoak dira:

  • SAP Business Warehouse eta SAP BW4HANAsistemen sarbide-balioztatze ez zuzenaren bidez, pribilegio gutxiko erasotzailebatek etengabe txosten gisa gordetzen den kode maltzurra injektatu lezake. Txostenhori gerora exekuta liteke, eta horrek eragin negatibo handia izan lezakesistemaren konfidentzialtasun, integritate eta eskuragarritasunean (eta, agian,konektatutako sistemetan). Ahultasun horretarako, CVE-2021-21466identifikatzailea esleitu da.

  • SAP BW datu-basearen interfazean SQLkomandoen sanitizazio desegokia izatearen ondorioz, erasotzaile batek SQLkomando arbitrarioak exekuta litzake datu-basean, beraz, sistema guztizkonprometituta gera liteke. Ahultasun horretarako, CVE-2021-21465identifikatzailea esleitu da.

Gainerako ahultasunetarako, honakoidentifikatzaileak erreserbatu dira:

CVE-2020-26838, CVE-2020-26820, CVE-2021-21446, CVE-2020-6307, CVE-2020-6224, CVE-2021-21445, CVE-2021-21447, CVE-2020-6256, CVE-2020-26816, CVE-2021-21448, CVE-2021-21469, CVE-2021-21449, CVE-2021-21457, CVE-2021-21458, CVE-2021-21459, CVE-2021-21450, CVE-2021-21451, CVE-2021-21452, CVE-2021-21453, CVE-2021-21454, CVE-2021-21455, CVE-2021-21456, CVE-2021-21460, CVE-2021-21461, CVE-2021-21462, CVE-2021-21463, CVE-2021-21464, CVE-2021-21467 eta CVE-2021-21470.

Etiketak: Eguneratzea, SAP, Ahultasuna

Partekatu

Linkedin partekatu