 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
19 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
В апрельский комплект патчей вошло двенадцать обновлений для нескольких ключевых продуктов компании.
Компания SAP выпустила апрельский комплект патчей для своих продуктов. Обновления закрывают десять уязвимостей и исправляют два прошлых апдейта безопасности. Наиболее серьезные ошибки пришлись на браузерное приложение SAP Business Client и ERP-систему для малого и среднего бизнеса SAP Business One.
Как следует из рекомендаций вендора, элементы управления, встраиваемые в браузеры Internet Explorer и Chromium при работе с продуктом SAP Business Client 6.5, содержат ряд критических ошибок. Суммарный рейтинг проблемы немного не дотянул до максимального и составил 9,8 баллов по оценке CVSS.
Брешь позволяет внедрять произвольный код в оперативную память, в результате чего злоумышленник получает полный контроль над приложением. Это создает риск раскрытия защищенной информации, отказа в обслуживании и т. д.
Есть вероятность, что часть закрытых багов являлась уязвимостью браузера. Пользователи IE, регулярно получающие обновления Windows, должны быть в безопасности, так как в их обозревателе проблемные библиотеки уже исправлены. Владельцам Chromium, который поставляется вместе с SAP Business Client, требуется установить патч самостоятельно.
Еще одна серьезная брешь относится к программному продукту SAP Business One. Проэксплуатировав уязвимость CVE-2017-7668, киберпреступник может вызвать отказ в обслуживании сервера Apache, который по умолчанию выполняет HTTP-запросы в ERP-системе. Удивительно, что у разработчиков только сейчас дошли руки до этой ошибки — о недостатке, оцененном в 7,5 баллов по шкале CVSS, известно с середины прошлого года.
Еще несколько брешей с рейтингом выше семи выглядят менее серьезными, поскольку затрагивают не самые популярные продукты вендора. Патч к системе быстрой разработки бизнес-приложений Visual Composer, вышедший в прошлом августе, получил обновление. Если летом закрыли возможность внедрения вредоносного кода через HTTP-запрос методом GET, то позже выяснилось, что проблема актуальна и в случае обращения через POST.
В SAP Business Objects залатали дыру, оцененную в 7,3 балла. Программа неверно обрабатывала смену пароля пользователем, оставляя активными сеансы, открытые под прежними идентификационными данными.
Всего с момента выпуска мартовского комплекта обновлений SAP исправила 16 недостатков в своих продуктах. Десять из них пришлись на свежий релиз апдейтов, два являются «работой над ошибками» в прежних патчах, а еще четыре — выпущены вне очереди. Пять уязвимостей относятся к ошибкам реализации. Остальные проблемы распределились следующим образом:
Прошедший месяц оказался относительно спокойным для разработчиков SAP — мартовский релиз безопасности включал в себя 27 обновлений, в том числе критически важный апдейт для платформы Internet Graphics Server.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
