Критические обновления безопасности от SAP за август 2012

Критические обновления безопасности от SAP за август 2012

Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2012 года. Данный набор обновлений закрывает 24 уязвимости в продуктах SAP (одной из них присвоена категория сенсации, 17 имеют высокий приоритет и 7 – средний). Среди закрытых уязвимостей были обнаружены следующие типы:

• 6 уязвимостей раскрытия информации

• 4 уязвимости отсутствия авторизации

• 4 уязвимости межсайтового скриптинга

• 2 уязвимости обхода каталога

• 1 уязвимость внедрения кода

• 1 имя пользователя в исходном коде

• 1 уязвимость отказа в обслуживании

Некоторые из наших читателей и клиентов просили нас указывать наиболее критичные проблемы, чтобы они могли исправлять их в первую очередь. Итак, самые важные уязвимости августовского обновления исправлены в следующих уведомлениях безопасности SAP:

1727914

1677291

1663732

1687334

1684632

В этом месяце SAP закрыла некоторые архитектурные проблемы, помимо обыкновенных уязвимостей типа XSS или отсутствия проверки авторизации. Как и в предыдущем месяце, проблемы связаны с интерфейсом XML, но на этот раз с другой областью безопасности XML. Уведомления 1687334 и1684632 исправляют проблемы с шифрованием XML. Рекомендуется установить их, чтобы избежать атак на XML-интерфейсы. Обычно последние защищены механизмами аутентификации, но к некоторым интерфейсам возможен анонимный доступ, например к DilbertMSG. Мы обнародовали эту проблему на BlackHat, так что сейчас самое время также проверить, установлено ли у вас уведомление 1707494, и если нет, то исправить это как можно скорее.

Некоторые другие уязвимости, закрытые в данном обновлении, были обнаружены специалистами компании Digital Security Александром Поляковым и Алексеем Тюриным. Они не так критичны, как описанные выше проблемы, но их тоже стоит исправить.

Детали исправленных уязвимостей:

• Уязвимость сущности XML в SAP BW. Обновление доступно в SAP Note 1728500. Критичность по CVSS – 5.0

• Уязвимость межсайтового скриптинга в SAP NetWeaver. Обновление доступно в SAP Note1721309. Критичность по CVSS – 4.3

Компания SAP традиционно объявила благодарность исследователям из Digital Security за обнаруженные уязвимости и помощь в их закрытии на своем портале.

Крайне рекомендуется установить указанные обновления безопасности в ближайшее время.

Проверки на наличие данных уязвимостей уже сейчас доступны в инновационной системе мониторинга безопасности SAP ERPScan.

ITSec.ru по материалам компании Digital Security