اطلاعیه امنیتی سپتامبر SAP برای ۱۴ نقص در محصولات خود
هفته گذشته شرکت SAP اطلاعیه امنیتی ماه سپتامبر خود را منتشر کرد که در آن به ۱۴ نقص در محصولات خود از جمله یک نقص بحرانی در SAP Business Client اشاره شده است.
در بین این ۱۴ آسیبپذیری، ۱ مورد با درجه حساسیت بحرانی، ۳ مورد با درجه حساسیت بالا، ۹ مورد با درجه حساسیت متوسط و یک مورد با درجه حساسیت پایین وجود دارند.
آسیبپذیری بحرانی در SAP Business Client نمره CVSS ۹,۸ را به خود اختصاص داده است. این نقص کنترل مرورگر Chromium ارائه شده به همراه SAP Business Client را تحت تاثیر قرار میدهد.
سایر محصولات SAP که در این سری از بروزرسانیهای امنیتی وجود دارند Business One، BEx Web Java Runtime Export Web Service، HANA، WebDynpro، NetWeaver AS Java، Hybris Commerce، Plant Connectivity، Adaptive Server Enterprise، HCM Fiori “People Profile” (GBX۰۱HR)، Mobile Platform، Enterprise Financial Services و برنامه اندروید Business One هستند.
بیشتر آسیبپذیری عدم اعتبارسنجی است که نقصهای افشای اطلاعات، تزریق کد از طریق وبگاه و XML خارجی را به همراه دارد.
جزئیات سه آسیبپذیری با درجه بالا بصورت زیر است:
• آسیبپذیری CVE-۲۰۱۸-۲۴۵۸ با نمره CVSS ۸,۸: آسیبپذیری افشا اطلاعات در SAP HANA Installer و SAP Business One
• آسیبپذیری CVE-۲۰۱۸-۲۴۶۲ با نمره CVSS ۸,۸: آسیبپذیری عدم اعتبارسنجی XML در SAP BEx Web Java Runtime Export Web Service
• آسیبپذیری CVE-۲۰۱۸-۲۴۶۵: آسیبپذیری DoS در SAP HANA نسخههای ۱,۰ و ۲.۰
منبع:
https://securityaffairs.co/wordpress/۷۶۱۲۱/security/sap-security-notes-sept۲۰۱۸.html
منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری