Сентябрьский набор патчей включает заплатку для критической бреши в SAP Business Client.
Компания SAP выпустила сентябрьский набор патчей к своим продуктам, который закрывает 14 брешей. Из них одна является критической, три ошибки представляют собой высокий уровень угрозы, девять — средний и еще одна — низкий.
Наиболее серьезной проблемой специалисты компании считают баг в элементах управления для браузера Chromium, входящих в пакет SAP Business Client. Его опасность по шкале CVSS составляет 9,8 из 10 баллов. Впервые эту уязвимость заметили и закрыли в апреле 2018 года, однако сейчас производитель решил обновить патч.
Другие 13 ошибок разработчики исправили в следующих продуктах компании:
Большинство уязвимостей касаются недостаточной проверки полномочий при авторизации, а также внедрения вредоносного кода в веб-страницы через межсайтовый скриптинг (XSS) или внешние сущности XML (XXE).
Наиболее серьезные проблемы имеют рейтинг 8,8 балла. В SAP Business One это уязвимость CVE-2018-2458, которая при определенных условиях дает атакующему доступ к закрытой информации. Такую же оценку получила брешь CVE-2018-2462 в сервисе BEx Web Java Runtime Export, позволяющая при помощи специально созданных XML-запросов несанкционированно проникнуть в файловую систему.
Еще один опасный баг — CVE-2018-2465 — разработчик закрыл в платформе для хранения и обработки данных HANA. Его преступники могли использовать как для простой DOS-атаки, так и для удаленного выполнения кода.
Кроме обновлений системы безопасности, SAP выпустила также пакет поддержки — набор драйверов и модулей для своих платформ. Об этом сообщила компания ERPScan, которая специализируется на безопасности программных продуктов Oracle и SAP.