SOS :: Security Operation Space
15 октября, вторник, 00:00
|
Hot News:

Разработчики SAP выпустили 14 патчей для своих систем

12 сентября 2019 г., четверг, 17:36

Самые важные заплатки касаются продуктов SAP Diagnostics Agent, SAP Business Client и SAP NetWeaver AS for Java.

Разработчики SAP выпустили сентябрьский пакет исправлений, куда вошли 14 патчей. Четыре из них пришлись на критические уязвимости, включая два дополнения к выпущенной ранее заплатке для SAP Diagnostics Agent.

Критически важные доработки SAP Diagnostics Agent

Об уязвимости CVE-2019-0330 стало известно в июле. Как тогда рассказали эксперты, ошибки в проверке поступающих команд позволяли злоумышленникам взять под контроль любое приложение, подключенное к платформе SAP Solution Manager (SolMan). Патч, который вышел в июле, касался только Linux-систем, теперь от угрозы защитили и Windows-хосты.

Специалисты напоминают, что эта уязвимость позволяет обойти ограничения доступа к SAP-приложениям. Такие сценарии представляют особую опасность для территориально распределенных компаний, где пользователям SolMan могут быть открыты только те программы, что нужны им по службе. Кроме того, злоумышленники могут воспользоваться аккаунтами подрядных организаций, которые также, как правило, работают с ограниченным набором приложений.

Еще три критические уязвимости в продуктах SAP

Другая заплатка из свежего пакета также касается закрытой ранее критической уязвимости. Она исправляет проблему в Chromium, который выполняет роль внутреннего браузера SAP Business Client. Баг позволял злоумышленникам внедрить код в оперативную память целевой машины. Это уже третья попытка устранить угрозу — вендор выпускал соответствующие патчи в апреле 2018 года и августе 2019-го.

Единственная новая критическая уязвимость, которую устранили разработчики SAP в этом пакете обновлений, содержится в SAP NetWeaver AS for Java (Web Container). Из-за багов в реализации метода HTTP PUT взломщики могли обойти проверку входящих данных, чтобы загрузить динамический веб-контент, прочитать закрытую информацию или спровоцировать критические ошибки.

Прочие значительные баги

Из остальных уязвимостей в рамках опубликованного пакета только одна получила высокую оценку угрозы. Она объединяет баги CVE-2019-0363 и CVE-2019-0364 в SAP HANA Extended Application Services, которые можно использовать для проведения DoS-атак.

Еще семь уязвимостей представляют среднюю опасность. Среди них повышение уровня доступа к данным SAP HANA, XSS-атака на Supplier Relationship Management, серия багов в ERP-системе SAP Business One. В последнем продукте также устранена угроза раскрытия информации. Эксперты признали эту уязвимость наименее опасной из всех, что вошли в нынешний набор патчей.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:03
13:15
10:15
09:15
08:15
07:15
06:15
05:38
17:15
15:59
15:15
14:15
12:15
10:15
09:15
08:15
07:15
06:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.380
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.