 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
20 апреля, суббота, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Уязвимость, получившая 9,9 балла по шкале CVSS, исправлена производителем в августовском комплекте патчей.
Компания SAP выпустила августовский комплект патчей, исправляющий 13 уязвимостей в продуктах вендора. Три новых бага и одно обновление для уже внедренной заплатки получили критический рейтинг угрозы. Серьезные проблемы исправлены в сервере Java-приложений NetWeaver, решении для электронной торговли Commerce Cloud и браузере на базе движка Chromium, встроенном в систему Business Client.
Максимальный рейтинг угрозы получила CVE-2019-0351, выявленная в NetWeaver — UDDI-сервере, отвечающем за поддержку этого стандарта в среде решений SAP. Уязвимость позволяет злоумышленнику удаленно выполнить вредоносный код в реестре служб платформы и получить возможность просматривать, изменять и удалять используемые ей данные. Результатом атаки может стать отказ в обслуживании или полный перехват управления системой. Баг, получивший рейтинг 9,9 балла по шкале CVSS, присутствует в релизах с 7.10 по 7.50.
Два компонента платформы для онлайн-торговли Commerce Cloud оказались затронуты критической уязвимостью, допускающей внедрение в систему стороннего кода. Ошибки в механизме десериализации компонента virtualjdbc позволяли неавторизованному злоумышленнику выполнить команды с правами пользователя, а недостатки в расширении Mediaconversion давали атакующему возможность перехватить управление приложением. Баги, обнаруженные в версии 1905 и более ранних релизах системы, получили идентификаторы CVE-2019-0344 и CVE-2019-0343 соответственно.
Другая проблема, получившая 9 баллов по шкале CVSS, исправлена в SAP NetWeaver Application Server для Java. Как следует из описания CVE-2019-0345, не прошедший идентификацию киберпреступник может похитить учетные данные легитимного пользователя, отправив в целевую систему вредоносный XML-файл. Баг подделки запроса на стороне сервера присутствует в версии 7.50 и трех предыдущих сборках платформы.
В августовском комплекте патчей разработчикам SAP пришлось вернуться к уязвимости во внутреннем браузере приложения Business Client. Вендор уже исправлял критический баг в элементах управления обозревателя, созданного на базе движка Chromium. Недостаток, допускавший внедрение произвольного кода в оперативную память, пропатчили еще в апреле прошлого года, однако спустя 16 месяцев потребовалось обновление заплатки.
Среди оставшихся уязвимостей выделяется серьезная проблема в компонентах ядра SAP, получившая 7,2 балла CVSS. Баг, зарегистрированный как CVE-2019-0349, связан отсутствием проверки авторизации.
Эксплуатация другой ошибки, оцененной в 7,5 балла, способна вызвать отказ в обслуживании базы данных HANA. Уязвимость получила идентификатор CVE-2019-0350. Остальные заплатки этого комплекта закрывают недостатки среднего и низкого уровней опасности.
 |
нравится | не нравится |  |
Рейтинг: | 1 |
Всего голосов: 1 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
