Компания SAP выпустила 16 заплаток как часть своего «Дня патча», а также одну внеочередную и шесть обновленных. По степени серьезности устраняемые угрозы распределились следующим образом: три — высокой, 17 — средней и три — низкой. Самая опасная уязвимость была оценена в 8,1 балла по шкале CVSS.

Уязвимости устранены в следующих продуктах:

  1. SAP Point of Sale
  2. SAP Net Weaver
  3. eRrecuiting
  4. Adobe Documents Services
  5. SAP Netweaver
  6. Web Dynpro ABAP
  7. SAPGUI для HTML
  8. Web Dynpro Java
  9. BI Workspace
  10. SAP NoteAssistant
  11. TREX / BWA
  12. Мобильное приложение SAP BI
  13. SAP ASE Installer

Согласно статистике компании, больше всего патчей получили уязвимости класса XSS. Решены также такие проблемы, как отсутствие проверки данных авторизации, недочеты в реализации и баги, чреватые раскрытием информации, а также подделка межсайтовых запросов, вшитые учетные данные и возможности для принудительного отказа в обслуживании, XXE-атак и обхода аутентификации.

Наиболее серьезная уязвимость была обнаружена в SAP Point of Sale Retail Xpress Server. Отсутствие аутентификации было исправлено еще в июле, однако оказалось, что введенную тогда проверку подлинности можно обойти, поэтому SAP выпустила внеочередную заплатку 18 августа.

Еще одна из закрываемых уязвимостей связана с обходом проверки отправителя электронной почты в модуле SAP E-Recruting. Этот недочет обнаружили эксперты компании SEC Consult Vulnerability Lab. Как оказалось, ссылка на подтверждение, полученная в ходе регистрации приложения, содержит параметры, представляющие инкрементный ID пользователя и случайное значение, которое не связано с текущей регистрацией. Таким образом, злоумышленник мог угадать ID пользователя и использовать известное значение для регистрации адресов электронной почты, к которым у него не было доступа.

Компания также объявила о планах включения цифровой подписи для всех своих обновлений: «SAP Notes с цифровой подписью будут доступны в виде файлов SAR. Чтобы удостовериться в подлинности файлов SAP Notes, пользователям необходимо активировать инструмент Note Assistant (Помощник Заметок)».

Категории: Кибероборона, Уязвимости