События

В компоненте SAP NetWeaver обнаружены опасные уязвимости

Исследователи безопасности из ERPScan сообщили о двух опасных уязвимостях в SAP NetWeaver Application Server Java, совместное использование которых можно объединить для взлома систем управления взаимоотношениями с клиентами (CRM).

При совместной эксплуатации уязвимость обхода каталога и проблема, позволяющая внедрить вредоносный контент в журнал (log injection) приводят к раскрытию информации, повышению привилегий и полной компрометации системы SAP CRM. В настоящее время обе уязвимости уже исправлены.

По данным исследователей, на сегодняшний день в Сети доступно более 500 систем SAP CRM, уязвимых к данным проблемам. Уязвимости получили оценки 6.3 и 7.7 по шкале CVSS v3.

Злоумышленник может проэксплуатировать уязвимость обхода каталога для того, чтобы прочитать зашифрованные учетные данные администратора из файла конфигурации системы, после чего расшифровывать пароль и авторизоваться на портале SAP CRM. Затем атакующий может проэксплуатировать другую уязвимость обхода каталога для изменения пути файла журнала SAP к корневому пути web-приложения. Далее, используя специально сформированный запрос, злоумышленник может внедрить файл журнала с вредоносным кодом и анонимно связываться с ним с удаленного web-сервера.

Исследователи обнаружили уязвимости в феврале 2016 года, однако SAP изначально не смогла воспроизвести проблемы. Затем они были ошибочно классифицированы как дубликаты уже обнаруженой проблемы, что привело к задержке выхода исправлений.

По словам представителей SAP, компания исправила обе проблемы в феврале 2018 года. Пользователям рекомендуется как можно быстрее установить соответствующие обновления.

SAP NetWeaver Application Server - компонент SAP NetWeaver, выполняющий функции сервера веб-приложений для решений компании SAP. Включает в себя серверы приложений ABAP и Java. Возможна установка обеих частей как совместно, так и по-отдельности.

Источник

Автор: Сергей Куприянов
16.03.2018 (10:07)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2020

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.