Критическое обновление безопасности SAP за май 2011
<p>
Компания SAP выпустила ежемесячный набор обновлений безопасности за май 2011 года. Данный набор обновлений закрывает 10 уязвимостей в продуктах SAP. Две из них были обнаружены Алексеем Синцовым и Дмитрием Евдокимовым из DSecRG.</p>
Компания SAP выпустила ежемесячный набор обновлений безопасности за май 2011 года. Данный набор обновлений закрывает 10 уязвимостей в продуктах SAP. Две из них были обнаружены Алексеем Синцовым и Дмитрием Евдокимовым из DSecRG.
Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.
Наиболее критичная уязвимость — отсутствие проверки авторизации на критичную RFC функцию, которая позволяет нарушить целостность системы. Она имеет приоритет 2 по метрике SAP. К прочим обнаруженным уязвимостям относится межсайтовый скриптинг в одном из JAVA приложений.
Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.
Информация по обновлениям доступна из следующих SAP Notes: 1554030, 1553292
Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.ru и DSecRG.ru. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.