Критические обновления безопасности от SAP за июль 2012
20.07.2012
Компания SAP выпустила ежемесячный набор обновлений безопасности за июль 2012 года. Данный набор обновлений закрывает 20 уязвимостей в продуктах SAP (17 с высоким приоритетом и 3 со средним). Среди закрытых уязвимостей были обнаружены следующие наиболее популярные типы:
• 5 уязвимостей отсутствия авторизации в ABAP-программах
Количество уязвимостей, закрытых в данном обновлениии, сравнительно невелико, зато, помимо перечисленных, также были закрыты две архитектурные проблемы, которые будут представлены на конференции BlackHat в Лас-Вегасе и были обнаружены специалистами компании Digital Security Александром Поляковым, Алексеем Тюриным и Александром Миноженко. На данный момент уязвимости успешно закрыты компанией SAP. Уязвимости затрагивают обработку XML-пакетов в компонентах SAP ProcessMonitoring и SAP ProcessIntegrationengines.
Детали исправленных уязвимостей:
• Уязвимость неавторизованного доступа кОС и интегрированным приложениям в SAP ProcessIntegration. Обновление доступно в SAP Note 1723641. Критичность по CVSS – 5.0
• Уязвимость неавторизованного чтения файлов в SAP ProcessMonitoring. Обновление доступно в SAP Note 1721309. Критичность по CVSS – 3.5
Компания SAP традиционно объявила благодарность исследователям из Digital Security за обнаруженные уязвимости и помощь в их закрытии на своем портале.
Уведомления, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах ERPScan.ru и DSecRG.ru. Проверки на наличие данных уязвимостей уже сейчас доступны в системе мониторинга безопасности SAP ERPScan.
