Свежие патчи закрывают бреши в ключевых продуктах SAP

Компания SAP выпустила ежемесячный набор обновлений безопасности. В него вошло 11 патчей, которые затронули ключевые продукты поставщика ERP-решений. Вместе с внеплановыми апдейтами, которые увидели свет с момента публикации предыдущего комплекта, и связанными с починенными багами CVE новые исправления закрывают 26 брешей, 5 из которых являются критическими.

Самую серьезную проблему представляет ошибка аутентификации при доступе к System Landscape Directory — центральному хранилищу модуля NetWeaver. Это ключевой элемент архитектуры SAP, который объединяет несколько продуктов вендора. Уязвимость позволяет злоумышленнику получить доступ к сервису, минуя процедуру идентификации. Следствием такой атаки может быть кража данных и нарушение целостности системы.

Другая критическая ошибка относится к Internet Graphics Server (IGS) — компоненту, который отвечает за создание таблиц и графиков. Проблема получила 8,3 балла по шкале CVSS и включает в себя несколько уязвимостей. Среди них — неконтролируемая загрузка файлов, а также возможность выполнения внешнего XML-кода и подделки лога.

Чуть менее серьезную брешь SAP прикрыл в SQL-движке HANA, предназначенном для хранения и обработки данных. Как пояснили специалисты по кибербезопасности, обнаружившие баг, уязвимость может привести к краже персональной информации, в том числе логинов и паролей пользователей программы.

Всего свежий набор апдейтов исправил три ошибки, касающиеся межсайтового скриптинга (XSS), две уязвимости, связанные с обходом каталогов, пару дыр в протоколе авторизации и другие, менее значимые проблемы. Помимо IGS и NetWeaver, обновления затронули несколько ключевых программных продуктов SAP, включая финансовый модуль ERP-системы и компоненты CRM.

Вендор выпускает наборы патчей каждый второй вторник месяца. Среди них нередко встречаются критические апдейты. В ноябре прошлого года SAP закрыл две серьезные уязвимости в программе LaMa 3.0, а двумя месяцами ранее подлатал сразу 13 своих решений.