Компания SAP выпустила ежемесячный набор обновлений безопасности за октябрь 2011 года. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP, 6 из которых были обнаружены сторонними исследователями.
В данном обновлении одна уязвимость была обнаружена сотрудником DSecRG - Дмитрием Евдокимовым.
Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.
Подробный список исправленных уязвимостей:
Межсайтовый скриптинг. Обновление доступно в sapnote1585652. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP. Злоумышленник может использовать данную уязвимость, послав неосведомленному пользователю специальную ссылку посредством электронной почты, мгновенных сообщений или социальных сетей. При переходе по данной ссылке пользовательский браузер выполнит вредоносный скрипт. Получив доступ к данным сессии пользователя, используя вредоносный скрипт, злоумышленник сможет получить контроль над критичными для бизнеса данными, хранящимися в этих приложениях, к которым имеет доступ жертва.
Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.
Информация по обновлениям доступна из следующих SAPNotes: 1585652
Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.ruи DSecRG.ru. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScanсканер безопасности SAP.
- Стоимость медиауслуг (открыть PDF) -
