Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2012 года. Данный набор обновлений закрывает 24 уязвимости в продуктах SAP (одной из них присвоена категория сенсации, 17 имеют высокий приоритет и 7 – средний). Среди закрытых уязвимостей были обнаружены следующие типы: • 6 уязвимостей раскрытия информации • 4 уязвимости отсутствия авторизации • 4 уязвимости межсайтового скриптинга • 2 уязвимости обхода каталога • 1 уязвимость внедрения кода • 1 имя пользователя в исходном коде • 1 уязвимость отказа в обслуживании Некоторые из наших читателей и клиентов просили нас указывать наиболее критичные проблемы, чтобы они могли исправлять их в первую очередь. Итак, самые важные уязвимости августовского обновления исправлены в следующих уведомлениях безопасности SAP: 1727914 1677291 1663732 1687334 1684632 В этом месяце SAP закрыла некоторые архитектурные проблемы, помимо обыкновенных уязвимостей типа XSS или отсутствия проверки авторизации. Как и в предыдущем месяце, проблемы связаны с интерфейсом XML, но на этот раз с другой областью безопасности XML. Уведомления 1687334 и1684632 исправляют проблемы с шифрованием XML. Рекомендуется установить их, чтобы избежать атак на XML-интерфейсы. Обычно последние защищены механизмами аутентификации, но к некоторым интерфейсам возможен анонимный доступ, например к DilbertMSG. Мы обнародовали эту проблему на BlackHat, так что сейчас самое время также проверить, установлено ли у вас уведомление 1707494, и если нет, то исправить это как можно скорее. Некоторые другие уязвимости, закрытые в данном обновлении, были обнаружены специалистами компании Digital Security Александром Поляковым и Алексеем Тюриным. Они не так критичны, как описанные выше проблемы, но их тоже стоит исправить. Детали исправленных уязвимостей: • Уязвимость сущности XML в SAP BW. Обновление доступно в SAP Note 1728500. Критичность по CVSS – 5.0 • Уязвимость межсайтового скриптинга в SAP NetWeaver. Обновление доступно в SAP Note1721309. Критичность по CVSS – 4.3 Компания SAP традиционно объявила благодарность исследователям из Digital Security за обнаруженные уязвимости и помощь в их закрытии на своем портале. Крайне рекомендуется установить указанные обновления безопасности в ближайшее время. Проверки на наличие данных уязвимостей уже сейчас доступны в инновационной системе мониторинга безопасности SAP ERPScan.