Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2011 года. Данный набор обновлений закрывает более 40 уязвимостей в продуктах SAP, 7 из которых были обнаружены сторонними исследователями.

В данном обновлении 5 уязвимостей были обнаружены сотрудниками DSECRG.

Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём ?ортале.

Набор обновлений содержит патчи для целого ряда крайне опасных уязвимостей, в том числе и тех, которые были опубликованы на недавней конференции BlackHat в Лас-Вегасе. Подробный список исправленных уязвимостей:

Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в JAVA движке и как следствие получение прав администратора на сервере. Обновление доступно в sap note 1589525.Критичность по - CVSS 10. Приоритет 1 по метрике SAP.

Возможность создания в системе пользователя с любыми правами через CSRF атаку. Обновление доступно в sap note 1616058. Критичность по CVSS - 7.8. Приоритет 1 по метрике SAP.

Выполнение произвольного кода ОС через уязвимый RFC модуль. Обновление доступно в sap note 1580017. Критичность по CVSS - 6.0. Приоритет 2 по метрике SAP.

Межсайтовый скриптинг в SAP BW. Обновление доступно в sap note 1572325. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP.

Уязвимость SMBrelay в одном из отчётов. Обновление доступно в sap note 1583286 Критичность по CVSS - 2.3. Приоритет 2 по метрике SAP.

Подробности двух первых перечисленных уязвимостей а также прочая информация о безопасности J2EE приложений платформы SAP доступны в документеНастоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAP Notes: 1589525,1616058,1580017,1572325,1583286

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com.  Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.

2 сентября, 2011

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных