SOS :: Security Operation Space
17 сентября, вторник, 00:00
|
Hot News:

Критический баг в SAP NetWeaver позволял угнать приложение

19 августа 2019 г., понедельник, 14:30

Уязвимость, получившая 9,9 балла по шкале CVSS, исправлена производителем в августовском комплекте патчей.

Компания SAP выпустила августовский комплект патчей, исправляющий 13 уязвимостей в продуктах вендора. Три новых бага и одно обновление для уже внедренной заплатки получили критический рейтинг угрозы. Серьезные проблемы исправлены в сервере Java-приложений NetWeaver, решении для электронной торговли Commerce Cloud и браузере на базе движка Chromium, встроенном в систему Business Client.

Максимальный рейтинг угрозы получила CVE-2019-0351, выявленная в NetWeaver — UDDI-сервере, отвечающем за поддержку этого стандарта в среде решений SAP. Уязвимость позволяет злоумышленнику удаленно выполнить вредоносный код в реестре служб платформы и получить возможность просматривать, изменять и удалять используемые ей данные. Результатом атаки может стать отказ в обслуживании или полный перехват управления системой. Баг, получивший рейтинг 9,9 балла по шкале CVSS, присутствует в релизах с 7.10 по 7.50.

Два компонента платформы для онлайн-торговли Commerce Cloud оказались затронуты критической уязвимостью, допускающей внедрение в систему стороннего кода. Ошибки в механизме десериализации компонента virtualjdbc позволяли неавторизованному злоумышленнику выполнить команды с правами пользователя, а недостатки в расширении Mediaconversion давали атакующему возможность перехватить управление приложением. Баги, обнаруженные в версии 1905 и более ранних релизах системы, получили идентификаторы CVE-2019-0344 и CVE-2019-0343 соответственно.

Другая проблема, получившая 9 баллов по шкале CVSS, исправлена в SAP NetWeaver Application Server для Java. Как следует из описания CVE-2019-0345, не прошедший идентификацию киберпреступник может похитить учетные данные легитимного пользователя, отправив в целевую систему вредоносный XML-файл. Баг подделки запроса на стороне сервера присутствует в версии 7.50 и трех предыдущих сборках платформы.

SAP обновила исправление бага в Business Client

В августовском комплекте патчей разработчикам SAP пришлось вернуться к уязвимости во внутреннем браузере приложения Business Client. Вендор уже исправлял критический баг в элементах управления обозревателя, созданного на базе движка Chromium. Недостаток, допускавший внедрение произвольного кода в оперативную память, пропатчили еще в апреле прошлого года, однако спустя 16 месяцев потребовалось обновление заплатки.

Среди оставшихся уязвимостей выделяется серьезная проблема в компонентах ядра SAP, получившая 7,2 балла CVSS. Баг, зарегистрированный как CVE-2019-0349, связан отсутствием проверки авторизации.

Эксплуатация другой ошибки, оцененной в 7,5 балла, способна вызвать отказ в обслуживании базы данных HANA. Уязвимость получила идентификатор CVE-2019-0350. Остальные заплатки этого комплекта закрывают недостатки среднего и низкого уровней опасности.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:17
13:15
11:15
10:15
09:15
07:15
06:15
06:15
05:48
17:24
16:42
15:22
15:15
14:15
14:15
13:15
13:15
11:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.326
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.