Критическое обновление безопасности SAP за сентябрь 2011
20.09.2011
Компания SAP выпустила ежемесячный набор обновлений безопасности за сентябрь 2011 года. Данный набор обновлений закрывает порядка 70 уязвимостей в продуктах SAP, 17 из которых были обнаружены сторонними исследователями.
В данном обновлении 3 уязвимостей были обнаружены сотрудниками DSecRG.
Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.
Подробный список исправленных уязвимостей:
Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в одном из WEB-компонентов. Обновление доступно в sap note 1567389. Критичность по - CVSS 6.4.
Межсайтовый скриптинг. Обновление доступно в sap note 1591749. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP.
Уязвимость SMBrelay в одной из RFC функций, которая моет привести к получению доступа к ОС в случае если SAP работает на Windows платформе. Обновление доступно в sap note 1591146 Критичность по CVSS - 3.4.
Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.
Информация по обновлениям доступна из следующих SAP Notes:
1567389, 1591749, 1591146
Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.
