Несколько слов об обновлении по безопасности от SAP за апрель 2012 года, с небольшой задержкой. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP, 4 из которых было обнаружено сторонними исследователями. В сегодняшней заметке я расскажу подробнее об обнаруженных уязвимостях.

• (1647225) SAP BusinessObjects – отсутствие проверки авторизации. Критичность по CVSS – 7.5.
• (1580244) SAP BusinessObjects – уязвимость отказа в обслуживании. Критичность по CVSS – 7.5.
• (1657200) SAP BASIS – недостаточная проверка авторизации. Критичность по CVSS – 4.0
• (1657200) SAP BASIS – необходимость установки дополнительных прав доступа к таблицам, хранящим сертификаты. Критичность по CVSS – 2.3

Далее в сегодняшней заметке я продолжу тему уязвимостей отсутствия проверки авторизации. Как известно, проверки авторизации используются не только при вызове RFC-функций, но также и при вызове отчётов и транзакций, а это основной набор действий, совершаемых в системе.

К сожалению, во многих программах проверка на наличие у пользователя необходимых авторизаций отсутствует или реализуется с ошибками. В ходе проведённого нами анализа более 2000 программных уязвимостей, закрытых компанией SAP за последние 10 лет, уязвимости ошибок авторизации встречались 225 раз, став третьей по частоте проблемой после уязвимостей обхода каталога и межсайтового скриптинга. Столь большое количество уязвимостей данного типа у компании SAP, в частности, означает, что в исходных кодах программ, написанных сторонними разработчиками в ходе кастомизации (так называемых Z-программ) подобные уязвимости также встречаются достаточно часто.

Для