Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2011 года. Данный набор обновлений закрывает более 40 уязвимостей в продуктах SAP, 7 из которых были обнаружены сторонними исследователями
Набор обновлений содержит патчи для целого ряда крайне опасных уязвимостей, в том числе и тех, которые были опубликованы на недавней конференции BlackHat в Лас-Вегасе. Вот их полный список:
- Наиболее критичная уязвимость – обход механизмов аутентификации и авторизации в JAVA движке и как следствие получение прав администратора на сервере. Обновление доступно в sap note 1589525. Критичность по CVSS — 10. Приоритет 1 по метрике SAP.
- Возможность создания в системе пользователя с любыми правами через CSRF атаку. Обновление доступно в sap note 1616058. Критичность по CVSS — 7.8. Приоритет 1 по метрике SAP.
- Выполнение произвольного кода ОС через уязвимый RFC модуль. Обновление доступно в sap note 1580017. Критичность по CVSS — 6.0. Приоритет 2 по метрике SAP.
- Межсайтовый скриптинг в SAP BW. Обновление доступно в sap note 1572325. Критичность по CVSS — 4.3. Приоритет 2 по метрике SAP.
- Уязвимость SMBrelay в одном из отчётов. Обновление доступно в sap note 1583286 Критичность по CVSS — 2.3. Приоритет 2 по метрике SAP.
Пользователям настоятельно рекомендуется установить обновления, закрывающие данные уязвимости. Проверки на их наличие уже сейчас доступны в сканере ERPScan сканер безопасности SAP.