Поделиться
Июльское обновление безопасности SAP: закрыто 20 уязвимостей
Компания SAP выпустила ежемесячный набор обновлений безопасности за июль 2012 г. По информации компании Digital Security, данный набор обновлений закрывает 20 уязвимостей в продуктах SAP (17 с высоким приоритетом и 3 со средним).
В частности, пакет обновлений устраняет: 5 уязвимостей отсутствия авторизации в ABAP-программах; 3 уязвимости межсайтового скриптинга; 2 уязвимости раскрытия информации; 1 уязвимость внедрения кода.
В целом количество уязвимостей, закрытых в данном обновлении, сравнительно невелико. Зато, помимо перечисленных, также были устранены две архитектурные проблемы, обнаруженные специалистами Digital Security Александром Поляковым, Алексеем Тюриным и Александром Миноженко, которые будут представлены на конференции BlackHat в Лас-Вегасе. Уязвимости затрагивают обработку XML-пакетов в компонентах SAP Process Monitoring (уязвимость неавторизованного доступа к ОС и интегрированным приложениям в SAP Process Integration; обновление доступно в SAP Note 1723641; критичность по CVSS — 5.0) и SAP Process Integration engines (уязвимость неавторизованного чтения файлов в SAP Process Monitoring; обновление доступно в SAP Note 1721309; критичность по CVSS — 3.5). С SAP Notes можно ознакомиться на сайте scn.sap.com.
Уведомления, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах ERPScan.ru и DSecRG.ru. Проверки на наличие данных уязвимостей уже сейчас доступны в системе мониторинга безопасности SAP ERPScan.
Короткая ссылка
