Forwarded from SecAtor
Отличился и немецкий разработчик SAP, выпустив 17 новых и обновив 2 прежних рекомендаций по безопасности, при этом 7 из них связаны с критическими уязвимостями в продуктах компании.
Самое важное исправление касается отсутствующей проверки авторизации в SAP NetWeaver Application Server для Java. CVE-2021-37535 имеет 10 баллов по CVSS. Устранены и другие критические уязвимости в Hot News для NetWeaver (с оценкой CVSS 9,9): CVE-2021-38163 (ошибка неограниченной загрузки файлов в Visual Composer 7.0 RT) и CVE-2021-37531 (проблема внедрения кода в системе управления знаниями). Обе уязвимости реализуются лишь при наличии минимальных привилегий в уязвимой системе.
Еще одна критическая уязвимость CVE-2021-38176 (оценка CVSS 9,9) заключается в неправильной очистке ввода в 25 функциональных модулях с поддержкой RFC, которые могут позволить аутентифицированному пользователю с определенными конкретными привилегиями удаленно вызывать эти функциональные модули и выполнять управляемые запросы для получения доступа к серверной базе данных.
Еще одно примечание по безопасности Hot News касается внедрения критического кода и отражает уязвимости межсайтового скриптинга (XSS) в контакт-центре SAP. Исправленные ошибки CVE-2021-33672, CVE-2021-33673, CVE-2021-33674 и CVE-2021-33675 имеют оценку CVSS 9,6.
На этой неделе SAP туда же включила 2 обновленных примечания по безопасности для ошибок с оценкой CVSS 10: обновление браузере Chromium в Business Client, проблема неограниченной загрузки файлов в Business One.
Кроме того, в сентябрьский SAP 2021 также попали 2 высокоприоритетных примечания по безопасности для CVE-2021-38162 в Web Dispatcher и CVE-2021-38177 в CommonCryptoLib.
Остальные рекомендации SAP касаются различных проблем в Analysis для Microsoft Office, Business Client, Business One, BusinessObjects, ERP Financial Accounting, NetWeaver и 3D Visual Enterprise Viewer.
Клиентам немецкого разработчика - в работу.
Самое важное исправление касается отсутствующей проверки авторизации в SAP NetWeaver Application Server для Java. CVE-2021-37535 имеет 10 баллов по CVSS. Устранены и другие критические уязвимости в Hot News для NetWeaver (с оценкой CVSS 9,9): CVE-2021-38163 (ошибка неограниченной загрузки файлов в Visual Composer 7.0 RT) и CVE-2021-37531 (проблема внедрения кода в системе управления знаниями). Обе уязвимости реализуются лишь при наличии минимальных привилегий в уязвимой системе.
Еще одна критическая уязвимость CVE-2021-38176 (оценка CVSS 9,9) заключается в неправильной очистке ввода в 25 функциональных модулях с поддержкой RFC, которые могут позволить аутентифицированному пользователю с определенными конкретными привилегиями удаленно вызывать эти функциональные модули и выполнять управляемые запросы для получения доступа к серверной базе данных.
Еще одно примечание по безопасности Hot News касается внедрения критического кода и отражает уязвимости межсайтового скриптинга (XSS) в контакт-центре SAP. Исправленные ошибки CVE-2021-33672, CVE-2021-33673, CVE-2021-33674 и CVE-2021-33675 имеют оценку CVSS 9,6.
На этой неделе SAP туда же включила 2 обновленных примечания по безопасности для ошибок с оценкой CVSS 10: обновление браузере Chromium в Business Client, проблема неограниченной загрузки файлов в Business One.
Кроме того, в сентябрьский SAP 2021 также попали 2 высокоприоритетных примечания по безопасности для CVE-2021-38162 в Web Dispatcher и CVE-2021-38177 в CommonCryptoLib.
Остальные рекомендации SAP касаются различных проблем в Analysis для Microsoft Office, Business Client, Business One, BusinessObjects, ERP Financial Accounting, NetWeaver и 3D Visual Enterprise Viewer.
Клиентам немецкого разработчика - в работу.
Yandex Cloud
Все о безопасности на конференции Yandex Scale Скоро состоится ежегодная большая конференция про облачные технологии и мы хотим познакомить вас ближе с её основными направлениями. Направление Security: доклады на эту тему будут связаны с вопросами безопасности…
Напоминаем! Планируется хороший набор докладов по ИБ.
Forwarded from Пост Лукацкого
Американская ФСТЭК (CISA) определила 9 ключевых целей ИБ и доказывающих их достижение набор базовых защитных мер https://t.co/8GpZx3HuXN
— Alexey Lukatsky (@alukatsky) Sep 26, 2021
— Alexey Lukatsky (@alukatsky) Sep 26, 2021
Forwarded from Sys-Admin InfoSec
Everyone Gets a Rootkit
Исследовательская группа Eclypsium выявила слабое место в возможностях WPBT Microsoft, которое может позволить злоумышленнику запустить вредоносный код с привилегиями ядра при загрузке устройства.
https://eclypsium.com/2021/09/20/everyone-gets-a-rootkit/
Add link:
https://techcommunity.microsoft.com/t5/itops-talk-blog/introduction-to-secured-core-computing/ba-p/2701672
Исследовательская группа Eclypsium выявила слабое место в возможностях WPBT Microsoft, которое может позволить злоумышленнику запустить вредоносный код с привилегиями ядра при загрузке устройства.
https://eclypsium.com/2021/09/20/everyone-gets-a-rootkit/
Add link:
https://techcommunity.microsoft.com/t5/itops-talk-blog/introduction-to-secured-core-computing/ba-p/2701672
Eclypsium | Supply Chain Security for the Modern Enterprise
Everyone Gets a Rootkit - Eclypsium | Supply Chain Security for the Modern Enterprise
In a connected, digitally transformed age, the term “no good deed goes unpunished” could perhaps be rephrased as “no good feature goes unexploited”. And so it is with ACPI, Microsoft WPBT, and every version of Windows since Windows 8.