Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Баги могут привести к утечке данных, обходу процедуры авторизации и несанкционированному доступу к файлам.
Компания SAP выпустила ряд патчей для своих продуктов. Немецкий разработчик бизнес-приложений исправил серьезные уязвимости, которые могли привести к обходу процедур аутентификации, несанкционированному доступу к файлам и утечке конфиденциальных данных, а также представил заплатки для нескольких менее опасных ошибок. Обновленные версии программ распространяются по каналам поддержки вендора.
Наибольшую угрозу безопасности представляет уязвимость CVE-2019-0379, найденная в одном из модулей бизнес-платформы SAP NetWeaver. Как сообщают разработчики, в компоненте Process Integration версий 1.0 и 2.0, присутствует проблема проверки сертификатов безопасности при авторизации. Атакующий может использовать две произвольные пары открытых ключей, чтобы пройти аутентификацию и получить доступ к системе. Багу присудили критический уровень опасности и 9,3 балла по шкале CVSS.
Другую критическую ошибку разработчики залатали в SAP Landscape Management. Недостаток допускает размещение некоторых параметров безопасности в общедоступных журналах, что может привести к несанкционированному раскрытию этой информации. Баг зарегистрирован как CVE-2019-0380 и оценен в 9,1 балла CVSS.
Чуть менее опасной выглядит уязвимость CVE-2019-0380, связанная с тремя продуктами для управления базами данных. Ошибка размещения двоичного файла, оцененная в 7,8 балла CVSS, дает злоумышленнику доступ к закрытым каталогам.
Баг присутствует в следующих программах:
Несколько уязвимостей, получивших от 4,3 до 5,4 балла по шкале CVSS, закрыли в аналитической платформе SAP Business Intelligence, приложении для формирования отчетности Financial Consolidation и компоненте B2B Toolkit продукта SAP NetWeaver. Результатом их эксплуатации может стать межсайтовый скриптинг, отказ в обслуживании и обход процедуры авторизации.
Предыдущий пакет обновлений безопасности SAP содержал 14 заплаток, четыре из которых устраняли критические уязвимости. Апдейты получили Windows-версия платформы Solution Manager (SolMan), приложение HANA Extended Application Services, браузер Business Client и другие продукты вендора.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |