SAP исправляет критические ошибки в продуктах для бизнеса

SAP исправляет критические ошибки в продуктах для бизнеса. Фото: Pixabay

Уязвимости двух других продуктов, которые компания тоже исправила, могли привести к тому, что неавторизированный пользователь мог получить доступ к объектам конфигурации и даже захватить систему, заставив её удалённо выполнять свой код, сообщает BleepingComputer.

Читайте в тему:

· Обнаруженный исследователями супер-вирус не определяется ни одним антивирусом.

· Microsoft Defender for Endpoint теперь защищает неуправляемые устройства.

· Google экстренно исправляет Chrome для Windows, Mac и Linux.

Во вторник группа безопасности продуктов SAP поделилась информацией об обнаруженных и исправленных уязвимостях в продуктах компании. Всего имеется 19 примечаний по безопасности, пять из которых являются обновлениями предыдущих ошибок.

Одно из этих обновлений относится к уязвимости, которая влияет на SAP Business Client, пользовательский интерфейс, который действует как точка входа в различные бизнес-приложения SAP.

Риск безопасности заключается не в самом продукте, а в элементе управления браузером (Chromium), который поставляется с ним. Подробных сведений о проблеме нет, за исключением того, что ей присвоен максимальный балл серьёзности - 10 из 10.

Бизнесу: Vonage добавляет видео-взаимодействие в приложения контакт-центра. Инструменты видеоконференцсвязи будут встроены в приложение контакт-центра с подключением к CRM-системам.

SAP также предоставила обновление, в котором исправлена ​​ошибка удалённого выполнения кода в SAP Commerce, используемая для организации информации о продукте для распространения по нескольким каналам связи.

Проблема обозначена как CVE-2021-27602 и затрагивает SAP Commerce 1808, 1811, 1905, 2005 и 2011. SAP также оценивает её как критическую, давая оценку серьёзности 9,8 из 10.

Однако Национальный институт стандартов и технологий (NIST) ещё не проанализировал его и не предоставил оценку серьёзности, которая может быть ниже.

Злоумышленник, авторизованный в приложении SAP Commerce для управления контентом продуктов Backoffice, может использовать его для удалённого выполнения кода в системе путём внедрения вредоносного кода в исходные правила.

Ещё одно обновление, которое SAP считает критическим, касается компонента Migration Service в программном стеке NetWeaver - версии 7.10, 7.11, 7.30, 7.31, 7.40, 7.50 - которое позволяет организациям интегрировать данные и бизнес-процессы из нескольких источников.

Уязвимость отслеживается как CVE-2021-21481, и SAP перечисляет её с оценкой серьёзности 9,6 из 10. Однако NIST даёт ей базовую оценку 8,8, что делает её риском высокой степени серьёзности.

Проблема, решаемая обновлением, заключается в том, что неавторизованные злоумышленники могут получить доступ к объектам конфигурации для получения прав администратора в системе.

Офтоп: DuckDuckGo блокирует FLoC. Расширение поисковика для Chrome не позволит Google отслеживать пользователей.

Дополнительные патчи от SAP, выпущенные на этой неделе, предназначены для уязвимостей средней степени серьёзности. Компания заявляет, что несколько ошибок, затрагивающих один и тот же продукт, могут быть устранены с помощью одного примечания по безопасности.

Ранее Startpack сообщил, что SAP объединяет свои торговые площадки для собственных приложений и ПО партнёров в одну платформу SAP Store.

Startpack также подготовил список систем управления облачными сервисами для решения корпоративных и персональных задач. Готовые решения по переходу на облачные технологии без участия программистов или системных администраторов. Возможность интеграции нескольких сервисов в единую инфраструктуру — от офисных пакетов до CRM- и ERP-систем.

Особая рекомендация: Битрикс24 — полный комплект инструментов для работы компании. Включает CRM для продаж, задачи и проекты, контакт-центр, конструктор сайтов и интернет-магазинов, социальных сетей компании. Бесплатный тариф для небольших компаний до 12 сотрудников.

Полезная новость? Прокомментируйте её или кликните на значок «+» ниже!