Критическое обновление безопасности SAP за август 2011

Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2011 года. Данный набор обновлений закрывает более 40 уязвимостей в продуктах SAP, 7 из которых были обнаружены сторонними исследователями.

В данном обновлении 5 уязвимостей были обнаружены сотрудниками DSECRG.

Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём ?ортале.

Набор обновлений содержит патчи для целого ряда крайне опасных уязвимостей, в том числе и тех, которые были опубликованы на недавней конференции BlackHat в Лас-Вегасе. Подробный список исправленных уязвимостей:

Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в JAVA движке и как следствие получение прав администратора на сервере. Обновление доступно в sap note 1589525.Критичность по - CVSS 10. Приоритет 1 по метрике SAP.

Возможность создания в системе пользователя с любыми правами через CSRF атаку. Обновление доступно в sap note 1616058. Критичность по CVSS - 7.8. Приоритет 1 по метрике SAP.

Выполнение произвольного кода ОС через уязвимый RFC модуль. Обновление доступно в sap note 1580017. Критичность по CVSS - 6.0. Приоритет 2 по метрике SAP.

Межсайтовый скриптинг в SAP BW. Обновление доступно в sap note 1572325. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP.

Уязвимость SMBrelay в одном из отчётов. Обновление доступно в sap note 1583286 Критичность по CVSS - 2.3. Приоритет 2 по метрике SAP.

Подробности двух первых перечисленных уязвимостей а также прочая информация о безопасности J2EE приложений платформы SAP доступны в документеНастоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAP Notes: 1589525,1616058,1580017,1572325,1583286

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com.  Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.

2 сентября, 2011

Смотрите также

Компания LETA разъясняет основные изменения, внесенные в Федеральный закон «О персональных данных»

1 сентября, 2011

Обновленная версия межсетевого экрана TrustAccessпоступила в продажу

1 сентября, 2011

До Дня Финансиста осталось 8 дней!

30 августа, 2011

Заканчивается ранняя регистрация на конференцию Разработка ПО/CEE-SECR 2011 (31 октября – 3 ноября, Москва, Digital October)

25 августа, 2011

ICL-КПО ВС - партнер Microsoft по малому бизнесу

24 августа, 2011

ОАО «Ростелеком» примет участие в круглом столе «Электронные услуги в государстве и бизнесе. Проблемы защиты информации»

23 августа, 2011

Компания «Код Безопасности» сообщает о прохождении обновленной версией продукта TrustAccess инспекционного контроля во ФСТЭК России

23 августа, 2011

Спам-активность во II квартале 2011 года: новая жизнь зомби-сетей

19 августа, 2011

ViPNet Client Android: первый в России VPN-клиент для ОС Android, реализующий российскую криптографию

18 августа, 2011
- RUSCADASEC CONF'25 -

Безопасная разработка

- Безопасная разработка эволюция по ГОСТу -

Читалка

Банк России опубликовал обзор отчётности об инцидентах информационной безопасности при переводе денежных средств за II квартал 2025 года

7 августа, 2025

Опубликовано постановление Правительства №1154 «Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных»

5 августа, 2025

Введён в действие стандарт ГОСТ Р 71895.2-2025 «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 2. Методология проведения испытаний»

1 августа, 2025

Введён в действие стандарт ГОСТ Р 71895.1-2025 «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 1. Общие требования»

1 августа, 2025

Опубликован Федеральный закон от 31.07.2025 №325-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации»

31 июля, 2025

Опубликован предварительный нацстандарт ПНСТ 1008-2025 «Информационная инфраструктура в жилищно-коммунальном хозяйстве. Требования к обеспечению информационной безопасности».

23 июля, 2025

ФСТЭК России опубликован методический документ от 30.06.2025 «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств»

16 июля, 2025

Календарь мероприятий

Новый номер

- BIS Journal №3(58)2025 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.09.2025
Банк России — о необоснованной блокировке счетов физлиц
15.09.2025
С октября в банковских приложениях появится новая антифрод-ступень
15.09.2025
Массовые обзвоны без согласия абонентов запрещены (но не всем)
15.09.2025
CISA запускает дорожную карту программы «Общие уязвимости и риски»
15.09.2025
Пользователей ChatGPT с «типично женскими» никами стало больше, чем с «типично мужскими»
15.09.2025
Утечка данных в Wealthsimple подтвердила тенденцию к росту киберрисков в Канаде
12.09.2025
Албания доверила госзакупки искусственному интеллекту
12.09.2025
На «Госуслугах» теперь можно запретить себе SIM-карту
12.09.2025
Даркнет сам приходит к «Максу»?
12.09.2025
Половина россиян не одобряет блокировку звонков в мессенджерах

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2025гг.