Компания SAP выпустила ежемесячный набор обновлений безопасности за сентябрь 2011 года. Данный набор обновлений закрывает порядка 70 уязвимостей в продуктах SAP, 17 из которых были обнаружены сторонними исследователями.

В данном обновлении 3 уязвимостей были обнаружены сотрудниками DSecRG.

Компания SAPтрадиционно объявила благодарности исследователям из DSecRGза обнаруженные уязвимости и содействие в их закрытии на своём портале.

Подробный список исправленных уязвимостей:

• Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в одном из WEB-компонентов. Обновление доступно в sap note 1567389.Критичность по -  CVSS 6.4.
• Межсайтовый скриптинг . Обновление доступно в sapnote1591749. Критичность по  CVSS  - 4.3. Приоритет 2 по метрике SAP.
• Уязвимость SMBrelayв одной из RFCфункций, которая моет привести к получению доступа к ОС в случае если SAPработает на Windowsплатформе. Обновление доступно в sapnote1591146 Критичность по  CVSS - 3.4.

Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAPNotes:

1567389, 1591749, 1591146

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com.  Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.