SAP выпустила сентябрьское обновление безопасности: закрыто 70 уязвимостей

Компания SAP выпустила ежемесячный набор обновлений безопасности за сентябрь 2011 г., закрывающий порядка 70 уязвимостей в продуктах SAP, 17 из которых были обнаружены сторонними исследователями, в том числе — сотрудниками исследовательского центра DSecRG компании Digital Security (3 уязвимости).

Наиболее критичной уязвимостью является возможность обхода механизмов аутентификации и авторизации в одном из веб-компонентов (критичность по CVSS — 6.4; обновление доступно в Sap Note 1567389).

Среди других обнаруженных в продуктах SAP уязвимостей: межсайтовый скриптинг (критичность по CVSS — 4.3; приоритет 2 по метрике SAP; обновление доступно в Sap Note 1591749); уязвимость SMBrelay в одной из RFC-функций, которая моет привести к получению доступа к ОС, в случае если SAP работает на Windows-платформе (критичность по CVSS — 3.4; обновление доступно в Sap Note 1591146). SAP Notes доступны на сайте sdn.sap.com.

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com. Проверки на наличие данных уязвимостей уже сейчас доступны в «ERPScan сканере безопасности SAP».