Новости рынка SAP

Критическое обновление безопасности SAP за август 2011

30 августа 2011, 12:51

Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2011 года. Данный набор обновлений закрывает более 40 уязвимостей в продуктах SAP, 7 из которых были обнаружены сторонними исследователями.

В данном обновлении 5 уязвимостей были обнаружены сотрудниками DSECRG.

Компания SAPтрадиционно объявила благодарности исследователям из DSecRGза обнаруженные уязвимости и содействие в их закрытии на своём портале.

Набор обновлений содержит патчи для целого ряда крайне опасных уязвимостей, в том числе и тех, которые были опубликованы на недавней конференции  BlackHat в Лас-Вегасе. Подробный список исправленных уязвимостей:

·         Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в JAVAдвижке и как следствие получение прав администратора на сервере. Обновление доступно в sapnote1589525.Критичность по -  CVSS10. Приоритет 1 по метрике SAP.

  • Возможность создания в системе пользователя с любыми правами через CSRFатаку. Обновление доступно в sapnote1616058. Критичность по  CVSS - 7.8. Приоритет 1 по метрике SAP.
  • Выполнение произвольного кода ОС через уязвимый RFCмодуль. Обновление доступно в sapnote1580017. Критичность по  CVSS - 6.0. Приоритет 2 по метрике SAP.
  • Межсайтовый скриптинг в SAPBW. Обновление доступно в sapnote1572325. Критичность по  CVSS  - 4.3. Приоритет 2 по метрике SAP.
  • Уязвимость SMBrelayв одном из отчётов. Обновление доступно в sapnote1583286 Критичность по  CVSS - 2.3. Приоритет 2 по метрике SAP.

Подробности двух первых перечисленных  уязвимостей а также прочая информация о безопасности J2EEприложений платформы SAPдоступны в документе http://erpscan.com/wp-content/uploads/2011/08/A-crushing-blow-at-the-heart-SAP-J2EE-engine_whitepaper.pdf

Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAPNotes: 1589525,1616058,1580017,1572325,1583286

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.