Skip to main content

Argitalpen data: 2022/02/09

Garrantzia:Kritikoa

Kaltetutako baliabideak:

  • SAP Web Dispatcher: 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 eta 7.87 bertsioak;
  • SAP Content Server, 7.53 bertsioa;
  • SAP NetWeaver eta ABAP Platform: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT eta 7.49 bertsioak;
  • SAP Commerce: 1905, 2005, 2105 eta 2011 bertsioak;
  • SAP Data Intelligence, 3 bertsioa;
  • SAP Dynamic Authorization Management, 9.1.0.0, 2021.03 bertsioa;
  • Internet of Things Edge Platform, 4.0 bertsioa;
  • SAP Customer Checkout, 2 bertsioa;
  • SAP Business Client, 6.5 bertsioa;
  • SAP Solution Manager (Diagnostics Root Cause Analysis Tools), 720 bertsioa;
  • SAP S/4HANA: 100, 101, 102, 103, 104, 105 eta 106 bertsioak;
  • SAP NetWeaver Application Server Java: KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 eta 7.53 bertsioa;
  • SAP NetWeaver AS ABAP (Workplace Server): 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 eta 787 bertsioak;
  • SAP NetWeaver (ABAP y Java application Servers): 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 eta 756 bertsioak;
  • SAP ERP HCM (Portugal): 600, 604 eta 608 bertsioak;
  • SAP Business Objects Web Intelligence (BI Launchpad), 420 bertsioa;
  • SAP 3D Visual Enterprise Viewer , 9.0 bertsioa;
  • SAP Adaptive Server Enterprise, 16.0 bertsioa;
  • SAP S/4HANA (Business Partner, Supplier eta Customer-erako Supplier Factsheet eta Enterprise Search) : 104, 105 eta 106 bertsioak;
  • ABAP (Kernel) eta ABAP Platform-erako (Kernel) SAP NetWeaver Application Server: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT eta 7.49 bertsioak.

Azalpena:

SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

SAPen zerbitzu ataria bisitatzea, eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.

Xehetasuna:

SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 14 segurtasun ohar, 1 zikloz kanpokoa, eta aurreko oharren 5 eguneraketa argitaratu ditu. Horietatik 9 larritasun kritikokoak dira, 3 larritasun altukoak, 6 larritasun ertainekoak eta 1 larritasun baxukoa.

Argitaratutako ahultasun kritiko eta altuak honako hauek dira:

  • Eskaeren kontrabando (request smuggling) eta request concatenation erako 2 ahultasun. Ahultasun horietarako CVE-2022-22536 eta CVE-2022-22532 identifikatzaileak erabili dira;
  • Apache Log4j2-ri lotutako kodearen urruneko exekuzio erako 6 ahultasun. Ahultasun horiekin erlazionatuta CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 eta CVE-2021-44228 identifikatzaileak esleitu dira;
  • Funtzioen bereizpen falta Solution Manager Diagnostics Root Cause Analysis Tools-en. Ahultasun horretarako CVE-2022-22544 identifikatzailea erabili da.
  • SQLren injekzio erako ahultasun bat. Ahultasun horretarako CVE-2022-22540 identifikatzailea esleitu da.

Segurtasun ohartarazpen nagusiak honakoei buruzkoak dira:

  • Apache Log4j2-ri lotutako kodearen urruneko exekuzioaren erako ahultasunak.
  • Google Chromium nabigatzailearen kontrolerako segurtasun eguneraketak.
  • Hainbat ahultasun SAP S/4HANA-ren F0743 Create Single Payment aplikazioan.

Gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2022-22534, CVE-2022-22535, CVE-2022-22546, CVE-2022-22537, CVE-2022-22539, CVE-2022-22538, CVE-2022-22528, CVE-2022-22542 eta CVE-2022-22543.

Encuesta valoración

Etiketak:Eguneraketa, SAP, Ahultasuna

Partekatu

Linkedin partekatu