SAP устранили проблемы с безопасностью

Stass

Проверка на авторские статьи.
Главный редактор
Статус
Offline
С нами
Сообщения
169
Симпатии
6
Розыгрыши
0
#1
Компания SAP выпустила очередной пакет ежемесячных исправлений, в котором закрыла десять уязвимостей своих продуктов. В их числе две критические бреши, четыре ошибки с высокой степенью опасности и четыре умеренные угрозы.

Два апдейта закрыли уязвимости с близкими к максимальным оценками по десятибалльной шкале CVSS. Они связаны с проблемой безопасности встроенного веб-браузера и возможностью инъекции для отправки операционной системе несанкционированных команд.

Бреши были обнаружены в продуктах SAP Business Client и SAP BASIS. Первый представляет собой пользовательский интерфейс для работы с ERP-решением, а второй служит интеграционным ядром для различных программных компонентов вендора.

Четыре уязвимости признаны особо серьезными. В бэкап-сервисе SAP Business One, ERP-системы для малого и среднего бизнеса, компания закрыла угрозу CVE-2018-2425 — возможность несанкционированного доступа к закрытой информации. В продукте для электронной коммерции SAP Internet Sales разработчики исправили баги CVE-2015-0899 и CVE-2014-0050, позволявшие удаленно отправлять команды и вызывать критические ошибки приложения.

Последняя серьезная проблема CVE-2018-2408 содержалась в аналитической системе SAP Business Objects — из-за некорректной обработки пользовательских сессий злоумышленник мог авторизоваться с применением устаревших паролей.

Остальные бреши получили умеренную оценку риска. В средствах веб-разработки SAPUI5 и UI5 Handler устранены угрозы возможности межсайтового скриптинга и раскрытия пользовательской информации — CVE-2018-2424 и CVE-2018-2428 соответственно. В аналитической системе SAP Crystal Reports разработчики закрыли возможность удаленного выполнения кода. В продукте SAP Identity Management, который обеспечивает хранение и распределение основных данных о пользователях, ликвидировали уязвимость CVE-2018-2416, скорректировав валидацию XML-документов.

В апреле 2018-го эксперты сообщили, что в приложениях SAP остается незакрытой уязвимость 13-летней давности. Ошибки в настройке встроенных средств защиты создают угрозу неправомерного доступа к информации, утечек данных и вмешательства в бизнес-процессы.