Меню

Критическое обновление безопасности SAP за июль 2011

Компания SAP выпустила ежемесячный набор обновлений безопасности за июль 2011 года. Данный набор обновлений закрывает около 40 уязвимостей в продуктах SAP. Из них 9 были обнаружены сторонними исследовательскими компаниями, в числе которых традиционно исследовательский центр DSecRG компании Digital Security. В данном обновлении закрыты две уязвимости, обнаруженные Дмитрием Частухиным и Дмитрием Евдокимовым из DSecRG.

Компания SAP выпустила ежемесячный набор обновлений безопасности за июль 2011 года. Данный набор обновлений закрывает около 40 уязвимостей в продуктах SAP. Из них 9 были обнаружены сторонними исследовательскими компаниями, в числе которых традиционно исследовательский центр DSecRG компании  Digital Security. В данном обновлении закрыты две уязвимости, обнаруженные Дмитрием Частухиным и Дмитрием Евдокимовым из DSecRG.

Компания SAPтрадиционно объявила благодарности исследователям из DSecRGза обнаруженные уязвимости и содействие в их закрытии на своём  портале.

Наиболее критичная уязвимость обнаружена в транзакции BAPIи позволяет выполнять неавторизированные действия от имени других пользователей, в том числе и получение доступа к их рабочим станциям, а также выполнение транзакций от их имени. Обе уязвимости имеют средний уровень критичности,  (5.5 и 4.3 по шкале CVSS).

Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAPNotes:1546307, 1599550.

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.ru и DSecRG.ru. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScanсканер безопасности SAP.

Также специалисты DSecRGопубликовали подробности уязвимостей, закрытых 3 месяца назад, в марте 2011, на сайтах erpscan.ru и  DSecRG.ru.