|
|
|
Навигация
|
Главная » Xml Критическая уязвимость в сервисе SAP Dispatcher доступна через интернетКомпания SAP выпустила майский набор критических обновлений, который закрывает 11 уязвимостей, обнаруженных сторонними исследователями, в том числе и сотрудниками исследовательского центра DSecRG (Digital Security Research Group) компании Digital Security. Непосредственно специалистами DSecRG было обнаружено 4 уязвимости в таких компонентах продуктов SAP, как SAP Basis, SAP Portal и SAP BW. Наиболее критичной из них является отказ в обслуживании при обработке XML-пакетов веб-интерфейсом приложения SAP NetWeaver ABAP. В целом в майском обновлении SAP превалируют уязвимости отказа в обслуживании - так, например, компания Core Security выпустила отчет о множественных уязвимостях, обнаруженных в протоколе DIAG. Это основной протокол, используемый в SAP для передачи данных между клиентом и сервером через клиентское приложение SAP GUI. В данном протоколе недавно уже были выявлены проблемы с небезопасным шифрованием, а точнее - кодированием. Теперь в нем обнаружены и другие уязвимости. Врезультате эксплуатации данных уязвимостей возможен вызов атаки типа "отказ в обслуживании" на сервер приложений SAP NetWeaver, что приведет к остановке работы системы до ее перезагрузки, говорится в сообщении Digital Security. Помимо отказа в обслуживании, одна из уязвимостей может привести к выполнению произвольного кода на сервере SAP, то есть к получению доступа ко всем критичным для бизнеса данным и процессам. Как показали исследования, проведенные Digital Security с целью сбора статистики по наличию SAP-систем в интернете, сервис Dispatcher, который обслуживает соединения попротоколу DIAG и должен быть открыт только для доступа внутри корпоративной сети, у некоторых компаний, тем не менее, доступен удаленно через интернет в обход SAP Router. В ходе выборочного сканирования систем по всему миру было обнаружено порядка сотни SAP-систем с доступным для удаленного подключения портом SAP Dispatcher. Наибольшее количество систем было обнаружено в США (30%), Китае (25%), Германии (10%), Колумбии и Корее. Среди обнаруженных систем найдены также и российские IP-адреса. По неподтвержденным данным, уязвимость можно реализовать только в случае включенной трассировки, что снижает риск. На данный момент всем компаниям, использующим SAP, рекомендуется установить уровень трассировки протокола DIAG в значение 1 или 0 (по умолчанию).
 Вопросы XML: Микроформаты: технология канал-поток (pipestreaming). Autodesk опускает цену BIM в 4.58 раза. Что нового в IBM XL Fortran for AIX and Linux версии 14.1. BusinessObjects XI Release 2 - средство обеспечения точной информации.Главная » Xml |
|
© 2024 Team.Furia.Ru.
Частичное копирование материалов разрешено. |