Skip to main content

Argitalpen data: 2022/03/09

Garrantzia:Kritikoa

Kaltetutako baliabideak:

  • Fiori Launchpad, honako bertsioak: 754, 755 eta 756;
  • SAP Business Objects Business Intelligence Platform, 420 eta 430 bertsioak;
  • SAP Content Server, 7.53 bertsioa;
  • SAP Financial Consolidation, 10.1 bertsioa;
  • SAP Focused Run, honako bertsioak: 200 eta 300;
  • SAP Inventory Manager, honako bertsioak: 4.3 eta 4.4;
  • SAP NetWeaver and ABAP Platform, honako bertsioak: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT eta 7.4;
  • SAP NetWeaver Application Server for ABAP, honako bertsioak: 700, 701, 702 eta 731;
  • SAP NetWeaver AS JAVA (Portal Basis), 7.50 bertsioa;
  • SAP NetWeaver Enterprise Portal, honako bertsioak: 7.30, 7.31, 7.40 eta 7.50;
  • SAP NetWeaver Enterprise Portal, honako bertsioak: 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 eta 7.50;
  • SAP Web Dispatcher, honako bertsioak: 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 eta 7.87;
  • SAP Work Manager, honako bertsioak: 6.4, 6.5 eta 6.6;
  • SAPCAR, 7.22 bertsioa;
  • SAP-JEE, 6.40 bertsioa;
  • SAP-JEECOR, honako bertsioak: 6.40, 7.00 eta 7.01;
  • SAPS/4HANA (Hornitzaileen orrialde informatzailea eta kide komertzialen, hornitzaileen eta bezeroen bilaketa), honako bertsioak: 104, 105 eta 106;
  • SERVERCORE, honako bertsioak: 7.10, 7.11, 7.20, 7.30 eta 7.31;
  • Simple Diagnostics Agent;
  • Simple Diagnostics Agent, honako bertsioak: = >1.0tik 1.58ra bitartean.

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

SAPen zerbitzu ataria bisitatzea, eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 12 segurtasun ohar eta aurreko oharren 4 eguneraketa argitaratu ditu. Horietatik 4 larritasun kritikokoak dira, 1 larritasun altukoa, 10 larritasun ertainekoak eta 1 larritasun baxukoa.

Argitaratutako ahultasun motak honako hauek dira:

  • kodearen urruneko exekuzioaren erako 2 ahultasun;
  • Cross-Site Scripting (XSS) erako 4 ahultasun;
  • zerbitzuaren ukapen erako (DoS) ahultasun 1,
  • direktorioaren jauzi erako (Directory Traversal) ahultasun 1;
  • informazioaren zabalkunde erako 4 ahultasun;
  • autentifikazioaren egiaztapen gabeziako ahultasun 1;
  • baimenaren egiaztapen gabeziako 2 ahultasun;
  • eskaeren kontrabando (request smuggling) eta eskaeren kateatze (request concatenation) erako ahultasun 1.

Segurtasun ohartarazpen nagusiak honakoei buruzkoak dira:

  • SAP NetWeaver, SAP Content Server eta SAP Web Dispatcher-en baimendu gabeko eskaerak eta eskaeren kateatzeak baliatuz, autentifikatu gabeko erasotzaile batek datu arbitrarioak gehi liezazkioke biktimaren eskaerari. Era horretara erasotzaileak funtzioak exekuta ditzake biktima ordezkatuz, edo web bitartekari cacheak pozoitu ditzake, sistemaren konfidentzialtasuna, integritatea eta eskuragarritasuna arriskuan jarriz. Ahultasun horretarako CVE-2022-22536 identifikatzailea esleitu da.
  • Konfigurazioan, erregistro mezuetan eta parametroetan erabilitako JNDI ezaugarriek Apache Log4j 2 osagaian ez dute babesten erasotzaile batek kontrolatutako LDAP baten eta JNDIrekin erlazionatutako beste azken puntu batzuen aurrean. Erregistro mezuak edo erregistro mezuen parametroak kontrolatzen dituen erasotzaile batek LDAP zerbitzarietatik kargatutako kode arbitrarioa exekuta lezake mezuen bilaketaren ordezpena gaituta dagoenean. Ahultasun horretarako CVE-2021-44228 eta CVE-2021-44228 identifikatzaileak erabili dira.
  • Http 3005 atakan localhost-aren bidez atzigarriak diren funtzionaltasunetarako SAPen zentratutako exekuzioko autentifikazioaren egiaztapen gabezia (Diagnostiko Soileko Agentea 1.0) balia lezake erasotzaile batek funtzionaltasun administratiboetara eta pribilegiatuetara sarbidea lortzeko eta informazioa eta konfigurazio sentikorrak irakurri, aldatu edo ezabatzeko. Ahultasun horretarako CVE-2022-24396 identifikatzailea esleitu da.

Gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2022-26101, CVE-2022-22542, CVE-2022-24395, CVE-2022-24397, CVE-2022-26104, CVE-2022-26102, CVE-2022-24399, CVE-2022-22547, CVE-2022-24398, CVE-2022-26100 eta CVE-2022-26103.

Encuesta valoración

Etiketak:Eguneraketa, SAP, Ahultasuna

Partekatu

Linkedin partekatu