 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Очередной набор патчей содержит обновления безопасности для SAP Hybris Commerce, Customizing Tools и других разработок.
Компания SAP исправила 12 уязвимостей в своих продуктах в рамках декабрьского вторника патчей. Разработчики залатали девять новых брешей и выпустили обновления безопасности для трех ранее закрытых багов. Две ошибки признаны критическими, трем присудили высокий уровень угрозы, еще шести — средний, а одна проблема, относящаяся к продукту SAP HANA, оценена как незначительная.
Одна из самых серьезных брешей закрыта в платформе SAP Hybris Commerce, предназначенной для автоматизации онлайн-магазинов и других организаций, работающих в сфере электронной торговли. Уязвимость позволяет внедрить на страницу жертвы вредоносный скрипт, крадущий cookie и другую информацию.
Как пояснили ИБ-специалисты, киберпреступники могут применить межсайтовый скриптинг (XSS) и установить на веб-ресурс свой код, заставив пользователя всего лишь кликнуть по вредоносной ссылке. Разработчик оценил баг CVE-2018-2505 в 9,3 балла по шкале CVSS. Проблема затрагивает шесть версий системы Hybris Commerce — в релизах от 6.2 до 6.7.
Еще один исправленный баг, получивший рейтинг 8,3 балла, относится к семейству продуктов SAP Customizing Tools. Уязвимость CVE-2018-2494 связана с некорректной работой механизма идентификации, который допускал повышение привилегий авторизованного пользователя. Обладая учетными данными для входа в систему SAP Basis, злоумышленник мог удаленно настраивать приложения Netweaver ABAP и S4/HANA, что обычно требует прав администратора.
В декабре разработчикам пришлось вернуться к уязвимости элементов управления SAP Business Client, внедряемых в браузер Chromium. Ошибка, получившая 9,8 баллов по шкале CVSS, допускала размещение вредоносного скрипта в оперативной памяти и перехват контроля над приложением. SAP залатала эту брешь в рамках апрельского вторника патчей, однако была вынуждена выпустить дополнительное обновление через восемь месяцев.
Из 12 исправленных производителем багов три являются уязвимостями межсайтового скриптинга, два закрывают проблемы проверки при авторизации, а остальные относятся к несанкционированному раскрытию информации, недостаточной проверке XML-кода и другим ошибкам. Клиенты SAP могут получить патчи по стандартным каналам поддержки вендора.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
