Компания SAPвыпустила ежемесячный набор обновлений безопасности за июнь 2011 года. Данный набор обновлений закрывает  около 40 уязвимостей в продуктах SAP. Из них 10 были обнаружены сторонними исследовательскими компаниями, в числе которых традиционно  исследовательский центр DSecRGкомпании DigitalSecurity.  В данном обновлении закрыты две уязвимости межсайтового скриптинга, обнаруженные  Дмитрием Частухиным из DSecRG.

Компания SAPтрадиционно объявила благодарности исследователям из DSecRGза обнаруженные уязвимости и содействие в их закрытии на своём портале.

Обе уязвимости имеют средний уровень критичности (5.0 и 4.3 по шкале CVSS). Уязвимости затрагивают ряд приложений, установленных на NetWeaverJ2EEEngine, и позволяют злоумышленнику получить доступ к сессии пользователя.

Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAPNotes: 1545883, 1562292

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.

Также специалисты DSecRG опубликовали подробности уязвимостей, закрытых 3 месяца назад, в марте 2011, насайтах erpscan.com и DSecRG.com