اطلاعیه امنیتی سپتامبر SAP برای ۱۴ نقص در محصولات خود

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

اطلاعیه امنیتی سپتامبر SAP برای ۱۴ نقص در محصولات خود
q923
هفته گذشته شرکت SAP اطلاعیه امنیتی ماه سپتامبر خود را منتشر کرد که در آن به ۱۴ نقص در محصولات خود از جمله یک نقص بحرانی در SAP Business Client اشاره شده است.
در بین این ۱۴ آسیب‌پذیری، ۱ مورد با درجه حساسیت بحرانی، ۳ مورد با درجه حساسیت بالا، ۹ مورد با درجه حساسیت متوسط و یک مورد با درجه حساسیت پایین وجود دارند.
آسیب‌پذیری بحرانی در SAP Business Client نمره CVSS ۹,۸ را به خود اختصاص داده است. این نقص کنترل مرورگر Chromium ارائه شده به همراه SAP Business Client را تحت تاثیر قرار می‌دهد.
سایر محصولات SAP که در این سری از بروزرسانی‌های امنیتی وجود دارند Business One، BEx Web Java Runtime Export Web Service، HANA، WebDynpro، NetWeaver AS Java، Hybris Commerce، Plant Connectivity، Adaptive Server Enterprise، HCM Fiori “People Profile” (GBX۰۱HR)، Mobile Platform، Enterprise Financial Services و برنامه اندروید Business One هستند.
بیشتر آسیب‌پذیری عدم اعتبارسنجی است که نقص‌های افشای اطلاعات، تزریق کد از طریق وبگاه و XML خارجی را به همراه دارد.
جزئیات سه آسیب‌پذیری با درجه بالا بصورت زیر است:
• آسیب‌پذیری CVE-۲۰۱۸-۲۴۵۸ با نمره CVSS ۸,۸: آسیب‌پذیری افشا اطلاعات در SAP HANA Installer و SAP Business One
• آسیب‌پذیری CVE-۲۰۱۸-۲۴۶۲ با نمره CVSS ۸,۸: آسیب‌پذیری عدم اعتبارسنجی XML در SAP BEx Web Java Runtime Export Web Service
• آسیب‌پذیری CVE-۲۰۱۸-۲۴۶۵: آسیب‌پذیری DoS در SAP HANA نسخه‌های ۱,۰ و ۲.۰

منبع:
https://securityaffairs.co/wordpress/۷۶۱۲۱/security/sap-security-notes-sept۲۰۱۸.html
منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری