SOS :: Security Operation Space
19 сентября, среда, 00:00
|
Hot News:

SAP исправила 14 уязвимостей в своих продуктах

13 сентября 2018 г., четверг, 12:18

Сентябрьский набор патчей включает заплатку для критической бреши в SAP Business Client.

Компания SAP выпустила сентябрьский набор патчей к своим продуктам, который закрывает 14 брешей. Из них одна является критической, три ошибки представляют собой высокий уровень угрозы, девять — средний и еще одна — низкий.

Наиболее серьезной проблемой специалисты компании считают баг в элементах управления для браузера Chromium, входящих в пакет SAP Business Client. Его опасность по шкале CVSS составляет 9,8 из 10 баллов. Впервые эту уязвимость заметили и закрыли в апреле 2018 года, однако сейчас производитель решил обновить патч.

Другие 13 ошибок разработчики исправили в следующих продуктах компании:

  • система управления предприятием Business One;
  • веб-сервис BEx Web Java Runtime Export;
  • платформа для хранения и обработки данных HANA;
  • пользовательский интерфейс WebDynpro;
  • сервер веб-приложений NetWeaver AS Java;
  • решение для электронной коммерции Hybris Commerce;
  • решение для обмена данными Plant Connectivity;
  • система управления базами данных Adaptive Server Enterprise;
  • приложение People Profile интерфейса HCM Fiori;
  • мобильная платформа для разработки корпоративного ПО SAP Mobile Platform;
  • корпоративные сервисы Enterprise Financial Services;
  • приложение Business One для

Большинство уязвимостей касаются недостаточной проверки полномочий при авторизации, а также внедрения вредоносного кода в веб-страницы через межсайтовый скриптинг (XSS) или внешние сущности XML (XXE).

Наиболее серьезные проблемы имеют рейтинг 8,8 балла. В SAP Business One это уязвимость CVE-2018-2458, которая при определенных условиях дает атакующему доступ к закрытой информации. Такую же оценку получила брешь CVE-2018-2462 в сервисе BEx Web Java Runtime Export, позволяющая при помощи специально созданных XML-запросов несанкционированно проникнуть в файловую систему.

Еще один опасный баг — CVE-2018-2465 — разработчик закрыл в платформе для хранения и обработки данных HANA. Его преступники могли использовать как для простой DOS-атаки, так и для удаленного выполнения кода.

Кроме обновлений системы безопасности, SAP выпустила также пакет поддержки — набор драйверов и модулей для своих платформ. Об этом сообщила компания ERPScan, которая специализируется на безопасности программных продуктов Oracle и SAP.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:21
12:50
11:45
10:24
09:34
08:41
08:04
07:15
06:30
06:27
06:18
05:47
16:29
14:55
14:07
12:43
12:42
11:32


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.123
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.