В рамках очередного дня безопасности компания SAP выпустила набор апдейтов, которые затрагивают ее ключевые программные продукты. Большинство уязвимостей, закрытых новыми патчами, имеют средний уровень угрозы, однако несколько ошибок признаны критическими.

В релизе 27 обновлений — десять вошли в основной набор, а еще семнадцать составляют пакет поддержки. Одиннадцать исправлений уже известны широкой публике — они были оперативно выпущены сразу после февральского дня безопасности.

Самая серьезная уязвимость относится к SAP Internet Graphics Server (IGS) и связана с тремя багами, найденными в сторонних библиотеках с открытым кодом, которые использует платформа. Ошибки в процессе обработки графических файлов могут привести к отказу в обслуживании, удаленному выполнению кода и нарушению безопасности памяти. Проблема получила рейтинг 8,8 по шкале CVSS.

Критические недостатки закрыты в SQL-платформе SAP HANA. Индексные файлы системы могут содержать незащищенную информацию о логине и пароле пользователя. Несмотря на то, что для доступа к этим данным злоумышленник должен обладать соответствующими правами, CVE-2018-2402 получила 7,6 балла из 10 возможных.

Не менее серьезной представляется уязвимость, закрытая в системе управления бизнес-процессами BPA, разработанной для продуктов SAP компанией Redwood. При определенных обстоятельствах ошибка CVE-2018-2400 позволяет киберпреступникам обойти ограничения доступа.

Самой распространенной уязвимостью в рамках мартовского выпуска является отсутствие проверки авторизации: разработчики вылечили шесть проблем этого типа. Чуть меньшее количество недостатков пришлось на долю несанкционированного раскрытия информации — патчи закрывают пять подобных багов.

 Среди других брешей, которые исправляет комплект обновлений, встречаются уязвимости межсайтового скриптинга, внедрения стороннего кода, ошибки обхода каталога и отказа в обслуживании.

SAP традиционно выпускает свежие комплекты патчей каждый второй вторник месяца. В набор входят как совершенно новые апдейты, так и все релизы, которые были выложены с прошлого дня безопасности. Прошлый сет содержал 26 исправлений, наиболее важные из которых также пришлись на платформы Internet Graphics Server и HANA.

 

Категории: Главное, Уязвимости