Компания SAP выпустила апрельский комплект патчей для своих продуктов. Обновления закрывают десять уязвимостей и исправляют два прошлых апдейта безопасности. Наиболее серьезные ошибки пришлись на браузерное приложение SAP Business Client и ERP-систему для малого и среднего бизнеса SAP Business One.

Как следует из рекомендаций вендора, элементы управления, встраиваемые в браузеры Internet Explorer и Chromium при работе с продуктом SAP Business Client 6.5, содержат ряд критических ошибок. Суммарный рейтинг проблемы немного не дотянул до максимального и составил 9,8 баллов по оценке CVSS.

Брешь позволяет внедрять произвольный код в оперативную память, в результате чего злоумышленник получает полный контроль над приложением. Это создает риск раскрытия защищенной информации, отказа в обслуживании и т. д.

Есть вероятность, что часть закрытых багов являлась уязвимостью браузера. Пользователи IE, регулярно получающие обновления Windows, должны быть в безопасности, так как в их обозревателе проблемные библиотеки уже исправлены. Владельцам Chromium, который поставляется вместе с SAP Business Client, требуется установить патч самостоятельно.

Еще одна серьезная брешь относится к программному продукту SAP Business One. Проэксплуатировав уязвимость CVE-2017-7668, киберпреступник может вызвать отказ в обслуживании сервера Apache, который по умолчанию выполняет HTTP-запросы в ERP-системе. Удивительно, что у разработчиков только сейчас дошли руки до этой ошибки — о недостатке, оцененном в 7,5 баллов по шкале CVSS, известно с середины прошлого года.

Еще несколько брешей с рейтингом выше семи выглядят менее серьезными, поскольку затрагивают не самые популярные продукты вендора. Патч к системе быстрой разработки бизнес-приложений Visual Composer, вышедший в прошлом августе, получил обновление. Если летом закрыли возможность внедрения вредоносного кода через HTTP-запрос методом GET, то позже выяснилось, что проблема актуальна и в случае обращения через POST.

В SAP Business Objects залатали дыру, оцененную в 7,3 балла. Программа неверно обрабатывала смену пароля пользователем, оставляя активными сеансы, открытые под прежними идентификационными данными.

Всего с момента выпуска мартовского комплекта обновлений SAP исправила 16 недостатков в своих продуктах. Десять из них пришлись на свежий релиз апдейтов, два являются «работой над ошибками» в прежних патчах, а еще четыре — выпущены вне очереди. Пять уязвимостей относятся к ошибкам реализации. Остальные проблемы распределились следующим образом:

• Обход каталога — 2 шт.
• Межсайтовый скриптинг — 2 шт.
• Внедрение стороннего кода — 2 шт.
• Переполнение буфера — 1 шт.
• Отсутствие проверки авторизации — 1 шт.
• Отказ в обслуживании — 1 шт.
• Внедрение внешнего XML-объекта (XXE) — 1 шт.
• Кликджекинг — 1 шт.

Прошедший месяц оказался относительно спокойным для разработчиков SAP — мартовский релиз безопасности включал в себя 27 обновлений, в том числе критически важный апдейт для платформы Internet Graphics Server.