Argitalpen data: 2022/02/09
Garrantzia:Kritikoa
Kaltetutako baliabideak:
- SAP Web Dispatcher: 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 eta 7.87 bertsioak;
- SAP Content Server, 7.53 bertsioa;
- SAP NetWeaver eta ABAP Platform: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT eta 7.49 bertsioak;
- SAP Commerce: 1905, 2005, 2105 eta 2011 bertsioak;
- SAP Data Intelligence, 3 bertsioa;
- SAP Dynamic Authorization Management, 9.1.0.0, 2021.03 bertsioa;
- Internet of Things Edge Platform, 4.0 bertsioa;
- SAP Customer Checkout, 2 bertsioa;
- SAP Business Client, 6.5 bertsioa;
- SAP Solution Manager (Diagnostics Root Cause Analysis Tools), 720 bertsioa;
- SAP S/4HANA: 100, 101, 102, 103, 104, 105 eta 106 bertsioak;
- SAP NetWeaver Application Server Java: KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 eta 7.53 bertsioa;
- SAP NetWeaver AS ABAP (Workplace Server): 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 eta 787 bertsioak;
- SAP NetWeaver (ABAP y Java application Servers): 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 eta 756 bertsioak;
- SAP ERP HCM (Portugal): 600, 604 eta 608 bertsioak;
- SAP Business Objects Web Intelligence (BI Launchpad), 420 bertsioa;
- SAP 3D Visual Enterprise Viewer , 9.0 bertsioa;
- SAP Adaptive Server Enterprise, 16.0 bertsioa;
- SAP S/4HANA (Business Partner, Supplier eta Customer-erako Supplier Factsheet eta Enterprise Search) : 104, 105 eta 106 bertsioak;
- ABAP (Kernel) eta ABAP Platform-erako (Kernel) SAP NetWeaver Application Server: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT eta 7.49 bertsioak.
Azalpena:
SAPek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.
Konponbidea:
SAPen zerbitzu ataria bisitatzea, eta fabrikatzaileak adierazten duen moduan beharrezkoak diren eguneraketa edo partxeak instalatzea.
Xehetasuna:
SAPek segurtasun partxeei buruz argitaratzen duen hileroko komunikatuan 14 segurtasun ohar, 1 zikloz kanpokoa, eta aurreko oharren 5 eguneraketa argitaratu ditu. Horietatik 9 larritasun kritikokoak dira, 3 larritasun altukoak, 6 larritasun ertainekoak eta 1 larritasun baxukoa.
Argitaratutako ahultasun kritiko eta altuak honako hauek dira:
- Eskaeren kontrabando (request smuggling) eta request concatenation erako 2 ahultasun. Ahultasun horietarako CVE-2022-22536 eta CVE-2022-22532 identifikatzaileak erabili dira;
- Apache Log4j2-ri lotutako kodearen urruneko exekuzio erako 6 ahultasun. Ahultasun horiekin erlazionatuta CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 eta CVE-2021-44228 identifikatzaileak esleitu dira;
- Funtzioen bereizpen falta Solution Manager Diagnostics Root Cause Analysis Tools-en. Ahultasun horretarako CVE-2022-22544 identifikatzailea erabili da.
- SQLren injekzio erako ahultasun bat. Ahultasun horretarako CVE-2022-22540 identifikatzailea esleitu da.
Segurtasun ohartarazpen nagusiak honakoei buruzkoak dira:
- Apache Log4j2-ri lotutako kodearen urruneko exekuzioaren erako ahultasunak.
- Google Chromium nabigatzailearen kontrolerako segurtasun eguneraketak.
- Hainbat ahultasun SAP S/4HANA-ren F0743 Create Single Payment aplikazioan.
Gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2022-22534, CVE-2022-22535, CVE-2022-22546, CVE-2022-22537, CVE-2022-22539, CVE-2022-22538, CVE-2022-22528, CVE-2022-22542 eta CVE-2022-22543.
Etiketak:Eguneraketa, SAP, Ahultasuna