SOS :: Security Operation Space
23 апреля, вторник, 00:00
|
Hot News:

SAP опубликовала апрельский набор заплаток

11 апреля 2019 г., четверг, 16:26

Разработчики закрыли восемь уязвимостей в своих продуктах и критическую брешь внутреннего браузера SAP Business Client.

Разработчики SAP выпустили очередной пакет обновлений, который устраняет несколько серьезных уязвимостей как собственных продуктов компании, так и их сторонних компонентов. Опубликованные патчи защищают пользователей от утечек информации и прочих вмешательств в работу корпоративных систем.

Самая серьезная угроза содержалась во внутреннем браузере SAP Business Client на движке Google Chromium. Ее детали не раскрываются, известно лишь, что она получила 9,8 балла по шкале CVSS 3.0. Эксперты отмечают, что это очередная доработка к патчу, который вышел в апреле 2018 года — разработчики обновляют ПО вслед за очередным релизом от Chrome, защищая пользователей от новых эксплойтов.

Из уязвимостей в собственных продуктах SAP наивысшие оценки получили бреши CVE-2019-0285 (7,5 балла) и CVE-2019-0283 (7,1 балла). Первая присутствует в аналитической платформе Crystal Reports, позволяя злоумышленнику прочитать закрытые данные этой системы. Вторая дыра обнаружена в NetWeaver Java Application Server — взломщик мог обойти процедуру валидации, чтобы подменить отправляемые пользователю данные.

Остальные бреши в вышедшем пакете получили среднюю оценку по шкале CVSS 3.0. В SAP HANA специалисты устранили уязвимость CVE-2019-0284 (5,1 балла), которая могла найти применение в направленных атаках. Из-за некорректного парсинга XML-данных система открывала удаленный доступ к критическим файлам на сервере, позволяла перехватить и изменить код веб-приложений.

Схожий по принципу баг обнаружился в службе SLD-регистрации NetWeaver и SAP HANA (System Landscape Directory, один из компонентов интеграционной шины SAP). Брешь CVE-2019-0265 (6 баллов) могла спровоцировать отказ в работе сервиса.

Уязвимость CVE-2019-0279 (5,5 балла) позволяла вмешаться в управление RFC-соединениями (Remote Function Call — собственный протокол SAP для обмена данными между информационными системами). Причина заключалась в проблемах с аутентификацией, из-за которых злоумышленник мог проводить MitM- и DoS-атаки, собирать информацию о программной инфраструктуре организации.

Утечками данных также грозили уязвимости интеграционной системы NetWeaver CVE-2019-0282 (5,3 балла) и CVE-2019-0278 (4,3 балла). В обоих случаях взломщик без соответствующих прав мог прочитать закрытые служебные данные, чтобы позже использовать их при развитии атаки.

Эксперты призывают пользователей не откладывать установку патчей, поскольку многие уязвимые продукты имеют прямой доступ к критически важным данным.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
12:47
11:15
09:15
07:15
07:15
06:15
04:54
16:05
15:52
15:15
13:15
13:15
11:15
09:15
08:15
07:15
06:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.284
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.