SOS :: Security Operation Space
19 октября, пятница, 00:00
|
Hot News:

SAP исправила критические ошибки в своих программах

13 апреля 2018 г., пятница, 11:53

В апрельский комплект патчей вошло двенадцать обновлений для нескольких ключевых продуктов компании.

Компания SAP выпустила апрельский комплект патчей для своих продуктов. Обновления закрывают десять уязвимостей и исправляют два прошлых апдейта безопасности. Наиболее серьезные ошибки пришлись на браузерное приложение SAP Business Client и ERP-систему для малого и среднего бизнеса SAP Business One.

Как следует из рекомендаций вендора, элементы управления, встраиваемые в браузеры Internet Explorer и Chromium при работе с продуктом SAP Business Client 6.5, содержат ряд критических ошибок. Суммарный рейтинг проблемы немного не дотянул до максимального и составил 9,8 баллов по оценке CVSS.

Брешь позволяет внедрять произвольный код в оперативную память, в результате чего злоумышленник получает полный контроль над приложением. Это создает риск раскрытия защищенной информации, отказа в обслуживании и т. д.

Есть вероятность, что часть закрытых багов являлась уязвимостью браузера. Пользователи IE, регулярно получающие обновления Windows, должны быть в безопасности, так как в их обозревателе проблемные библиотеки уже исправлены. Владельцам Chromium, который поставляется вместе с SAP Business Client, требуется установить патч самостоятельно.

Еще одна серьезная брешь относится к программному продукту SAP Business One. Проэксплуатировав уязвимость CVE-2017-7668, киберпреступник может вызвать отказ в обслуживании сервера Apache, который по умолчанию выполняет HTTP-запросы в ERP-системе. Удивительно, что у разработчиков только сейчас дошли руки до этой ошибки — о недостатке, оцененном в 7,5 баллов по шкале CVSS, известно с середины прошлого года.

Еще несколько брешей с рейтингом выше семи выглядят менее серьезными, поскольку затрагивают не самые популярные продукты вендора. Патч к системе быстрой разработки бизнес-приложений Visual Composer, вышедший в прошлом августе, получил обновление. Если летом закрыли возможность внедрения вредоносного кода через HTTP-запрос методом GET, то позже выяснилось, что проблема актуальна и в случае обращения через POST.

В SAP Business Objects залатали дыру, оцененную в 7,3 балла. Программа неверно обрабатывала смену пароля пользователем, оставляя активными сеансы, открытые под прежними идентификационными данными.

Всего с момента выпуска мартовского комплекта обновлений SAP исправила 16 недостатков в своих продуктах. Десять из них пришлись на свежий релиз апдейтов, два являются «работой над ошибками» в прежних патчах, а еще четыре — выпущены вне очереди. Пять уязвимостей относятся к ошибкам реализации. Остальные проблемы распределились следующим образом:

Прошедший месяц оказался относительно спокойным для разработчиков SAP — мартовский релиз безопасности включал в себя 27 обновлений, в том числе критически важный апдейт для платформы Internet Graphics Server.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
11:15
10:15
09:15
08:15
08:15
08:15
07:15
07:15
06:15
05:59
16:15
15:59
15:15
14:15
13:33
13:00
12:15
11:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.167
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.