Forwarded from SecAtor
Отличился и немецкий разработчик SAP, выпустив 17 новых и обновив 2 прежних рекомендаций по безопасности, при этом 7 из них связаны с критическими уязвимостями в продуктах компании.
Самое важное исправление касается отсутствующей проверки авторизации в SAP NetWeaver Application Server для Java. CVE-2021-37535 имеет 10 баллов по CVSS. Устранены и другие критические уязвимости в Hot News для NetWeaver (с оценкой CVSS 9,9): CVE-2021-38163 (ошибка неограниченной загрузки файлов в Visual Composer 7.0 RT) и CVE-2021-37531 (проблема внедрения кода в системе управления знаниями). Обе уязвимости реализуются лишь при наличии минимальных привилегий в уязвимой системе.
Еще одна критическая уязвимость CVE-2021-38176 (оценка CVSS 9,9) заключается в неправильной очистке ввода в 25 функциональных модулях с поддержкой RFC, которые могут позволить аутентифицированному пользователю с определенными конкретными привилегиями удаленно вызывать эти функциональные модули и выполнять управляемые запросы для получения доступа к серверной базе данных.
Еще одно примечание по безопасности Hot News касается внедрения критического кода и отражает уязвимости межсайтового скриптинга (XSS) в контакт-центре SAP. Исправленные ошибки CVE-2021-33672, CVE-2021-33673, CVE-2021-33674 и CVE-2021-33675 имеют оценку CVSS 9,6.
На этой неделе SAP туда же включила 2 обновленных примечания по безопасности для ошибок с оценкой CVSS 10: обновление браузере Chromium в Business Client, проблема неограниченной загрузки файлов в Business One.
Кроме того, в сентябрьский SAP 2021 также попали 2 высокоприоритетных примечания по безопасности для CVE-2021-38162 в Web Dispatcher и CVE-2021-38177 в CommonCryptoLib.
Остальные рекомендации SAP касаются различных проблем в Analysis для Microsoft Office, Business Client, Business One, BusinessObjects, ERP Financial Accounting, NetWeaver и 3D Visual Enterprise Viewer.
Клиентам немецкого разработчика - в работу.
Самое важное исправление касается отсутствующей проверки авторизации в SAP NetWeaver Application Server для Java. CVE-2021-37535 имеет 10 баллов по CVSS. Устранены и другие критические уязвимости в Hot News для NetWeaver (с оценкой CVSS 9,9): CVE-2021-38163 (ошибка неограниченной загрузки файлов в Visual Composer 7.0 RT) и CVE-2021-37531 (проблема внедрения кода в системе управления знаниями). Обе уязвимости реализуются лишь при наличии минимальных привилегий в уязвимой системе.
Еще одна критическая уязвимость CVE-2021-38176 (оценка CVSS 9,9) заключается в неправильной очистке ввода в 25 функциональных модулях с поддержкой RFC, которые могут позволить аутентифицированному пользователю с определенными конкретными привилегиями удаленно вызывать эти функциональные модули и выполнять управляемые запросы для получения доступа к серверной базе данных.
Еще одно примечание по безопасности Hot News касается внедрения критического кода и отражает уязвимости межсайтового скриптинга (XSS) в контакт-центре SAP. Исправленные ошибки CVE-2021-33672, CVE-2021-33673, CVE-2021-33674 и CVE-2021-33675 имеют оценку CVSS 9,6.
На этой неделе SAP туда же включила 2 обновленных примечания по безопасности для ошибок с оценкой CVSS 10: обновление браузере Chromium в Business Client, проблема неограниченной загрузки файлов в Business One.
Кроме того, в сентябрьский SAP 2021 также попали 2 высокоприоритетных примечания по безопасности для CVE-2021-38162 в Web Dispatcher и CVE-2021-38177 в CommonCryptoLib.
Остальные рекомендации SAP касаются различных проблем в Analysis для Microsoft Office, Business Client, Business One, BusinessObjects, ERP Financial Accounting, NetWeaver и 3D Visual Enterprise Viewer.
Клиентам немецкого разработчика - в работу.
Yandex Cloud
Все о безопасности на конференции Yandex Scale Скоро состоится ежегодная большая конференция про облачные технологии и мы хотим познакомить вас ближе с её основными направлениями. Направление Security: доклады на эту тему будут связаны с вопросами безопасности…
Напоминаем! Планируется хороший набор докладов по ИБ.
Forwarded from Пост Лукацкого
Американская ФСТЭК (CISA) определила 9 ключевых целей ИБ и доказывающих их достижение набор базовых защитных мер https://t.co/8GpZx3HuXN
— Alexey Lukatsky (@alukatsky) Sep 26, 2021
— Alexey Lukatsky (@alukatsky) Sep 26, 2021