Критическое обновление безопасности SAP за август 2011

Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2011 года. Данный набор обновлений закрывает более 40 уязвимостей в продуктах SAP, 7 из которых были обнаружены сторонними исследователями.

В данном обновлении 5 уязвимостей были обнаружены сотрудниками DSECRG.

Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём ?ортале.

Набор обновлений содержит патчи для целого ряда крайне опасных уязвимостей, в том числе и тех, которые были опубликованы на недавней конференции BlackHat в Лас-Вегасе. Подробный список исправленных уязвимостей:

Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в JAVA движке и как следствие получение прав администратора на сервере. Обновление доступно в sap note 1589525.Критичность по - CVSS 10. Приоритет 1 по метрике SAP.

Возможность создания в системе пользователя с любыми правами через CSRF атаку. Обновление доступно в sap note 1616058. Критичность по CVSS - 7.8. Приоритет 1 по метрике SAP.

Выполнение произвольного кода ОС через уязвимый RFC модуль. Обновление доступно в sap note 1580017. Критичность по CVSS - 6.0. Приоритет 2 по метрике SAP.

Межсайтовый скриптинг в SAP BW. Обновление доступно в sap note 1572325. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP.

Уязвимость SMBrelay в одном из отчётов. Обновление доступно в sap note 1583286 Критичность по CVSS - 2.3. Приоритет 2 по метрике SAP.

Подробности двух первых перечисленных уязвимостей а также прочая информация о безопасности J2EE приложений платформы SAP доступны в документеНастоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAP Notes: 1589525,1616058,1580017,1572325,1583286

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com.  Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.

2 сентября, 2011

Смотрите также

Компания LETA разъясняет основные изменения, внесенные в Федеральный закон «О персональных данных»

1 сентября, 2011

Обновленная версия межсетевого экрана TrustAccessпоступила в продажу

1 сентября, 2011

До Дня Финансиста осталось 8 дней!

30 августа, 2011

Заканчивается ранняя регистрация на конференцию Разработка ПО/CEE-SECR 2011 (31 октября – 3 ноября, Москва, Digital October)

25 августа, 2011

ICL-КПО ВС - партнер Microsoft по малому бизнесу

24 августа, 2011

ОАО «Ростелеком» примет участие в круглом столе «Электронные услуги в государстве и бизнесе. Проблемы защиты информации»

23 августа, 2011

Компания «Код Безопасности» сообщает о прохождении обновленной версией продукта TrustAccess инспекционного контроля во ФСТЭК России

23 августа, 2011

Спам-активность во II квартале 2011 года: новая жизнь зомби-сетей

19 августа, 2011

ViPNet Client Android: первый в России VPN-клиент для ОС Android, реализующий российскую криптографию

18 августа, 2011
- RUSCADASEC CONF'25 -

Безопасная разработка

- Безопасная разработка эволюция по ГОСТу -

Читалка

Опубликован приказ ФСТЭК от 11.04.2025 №117 «Об утверждении Требований о защите информации, содержащейся в ГИС, иных информсистемах госорганов, государственных унитарных предприятий, государственных учреждений»

17 июня, 2025

Опубликован проект ФЗ «О внесении изменений в статью 13 ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ"»

11 июня, 2025

Принят стандарт ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»

10 июня, 2025

Опубликован проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 08.02.2018 №127 ‎"Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений"»

10 июня, 2025

Опубликован проект приказа ФСТЭК «О внесении изменений в Порядок сертификации процессов безопасной разработки ПО средств защиты информации, утверждённый приказом ФСТЭК от 01.12.2023 №240»

5 июня, 2025

Опубликован проект ведомственного акта Минцифры «Об утверждении Требований к обеспечению ИБ в рамках предоставления облачных услуг посредством государственной единой облачной платформы».

5 июня, 2025

Опубликован проект постановления Правительства РФ «Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры»

4 июня, 2025

Календарь мероприятий

Новый номер

- BIS Journal №2(57)2025 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2025гг.