Критическое обновление безопасности SAP за сентябрь 2011
Компания SAP выпустила ежемесячный набор обновлений безопасности за сентябрь 2011 года. Данный набор обновлений закрывает порядка 70 уязвимостей в продуктах SAP, 17 из которых были обнаружены сторонними исследователями.
Компания SAP выпустила ежемесячный набор обновлений безопасности за сентябрь 2011 года. Данный набор обновлений закрывает порядка 70 уязвимостей в продуктах SAP, 17 из которых были обнаружены сторонними исследователями.
В данном обновлении 3 уязвимостей были обнаружены сотрудниками DSecRG.
Компания SAPтрадиционно объявила благодарности исследователям из DSecRGза обнаруженные уязвимости и содействие в их закрытии на своём портале.
Подробный список исправленных уязвимостей:
- Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в одном из WEB-компонентов. Обновление доступно в sap note 1567389.Критичность по - CVSS 6.4.
- Межсайтовый скриптинг . Обновление доступно в sapnote1591749. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP.
- Уязвимость SMBrelayв одной из RFCфункций, которая моет привести к получению доступа к ОС в случае если SAPработает на Windowsплатформе. Обновление доступно в sapnote1591146 Критичность по CVSS - 3.4.
Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.
Информация по обновлениям доступна из следующих SAPNotes:
1567389, 1591749, 1591146
Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.