SAP выпустила июньский комплект патчей

SAP выпустила июньский комплект патчей

Специалисты Onapsis рассказали об июньских изменениях в ERP-программах SAP. Согласно отчету, компания-разработчик повысила оценку уровня опасности бага в платформе Solution Manager со среднего на высокий, а также внесла ряд исправлений безопасности в свои продукты.

Проблемы внутреннего браузера SAP Business Client на движке Chromium в этом месяце вновь попали в категорию HotNews. Компания уже четвертый раз за год сообщает об уязвимостях программы, оцененных в 9,8 балла по шкале CVSS 3.0. Угроза возникает при использовании устаревшей версии движка, поэтому разработчики регулярно вносят исправления вслед за свежими релизами Chromium. Обновление защищает пользователей от эксплойтов для удаленного выполнения вредоносного кода, компрометации данных, проведения DoS-атак и перехвата трафика.

Вторая уязвимость, CVE-2019-0291, была обнаружена в платформе Solution Manager и ранее уже упоминалась в майском отчете Onapsis. В случае успешной эксплуатации она позволяет киберпреступникам красть учетные данные жертв и создавать аккаунты с повышенными привилегиями. В этом месяце рейтинг проблемы был повышен с 4,3 до 7,1 балла CVSS 3.0 из-за появления новых сведений о влиянии бага на конфиденциальность пользователей.

Как отмечают исследователи, для устранения угрозы требуется активное вовлечение пользователя. Перед установкой патча нужно выполнить инструкции, приведенные в других примечаниях по безопасности, а после — вручную настроить защиту и шифрование учетных данных.

Также разработчики SAP устранили четыре новые уязвимости, о которых им сообщили специалисты Onapsis. Трем проблемам был присвоен средний уровень угрозы, одной — низкий.

Самый опасный из багов — CVE-2019-0303, 6,1 балла по шкале CVSS 3.0 — был обнаружен в продукте BusinessObjects BI. Эта XSS-уязвимость позволяла неавторизованным злоумышленникам создавать вредоносные URL-адреса и выполнять произвольный JavaScript-код в браузере жертвы. Выбрав в качестве цели привилегированного пользователя, преступники способны получить доступ к платформе с правами администратора.

Баг CVE-2019-0306 был устранен в SAP HANA XS advanced. Уязвимость позволяла злоумышленникам с низким уровнем привилегий удаленно красть конфиденциальные данные, в том числе логины администраторов.

Разработчикам также удалось избавиться от бага CVE-2019-0314, с помощью которого преступники могли проводить DoS-атаки на мобильные приложения Inventory Manager и Work Manager.

Еще одну проблему (CVE-2019-0307) исправили в Diagnostic Agent — компоненте SAP Solution Manager. Недостаточно надежное шифрование позволяло атакующим с низкими локальными привилегиями читать конфиденциальную информацию, в том числе логины и пароли пользователей. Украв эти данные, преступники могли получить доступ к другим продуктам SAP с более высокими правами. Несмотря на низкую степень угрозы — 3,4 балла, — уязвимость в сочетании с другими багами может привести к серьезным последствиям.

Всего с момента выпуска майского набора патчей разработчики SAP опубликовали 19 примечаний по безопасности. Уязвимости включали в себя риск раскрытия информации, угрозы межсайтового скриптинга, отключения проверки разрешений и ее отсутствие, внедрение стороннего кода и другие.

Источник: //threatpost.ru/sap-published-june-patch-notes/33079/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *