В SAP NetWeaver исправлена уязвимость, обнаруженная экспертом Positive Technologies

image

Теги: уязвимости в программном обеспечении, application firewall

Разработчик устранил опасную уязвимость, которая могла привести к удаленному взлому системы и разглашению конфиденциальной информации.  

Крупнейший мировой разработчик ERP-систем и бизнес-приложений устранил опасную ошибку в SAP NetWeaver, которая могла привести к удаленному взлому системы и разглашению конфиденциальной информации.

Проблемы безопасности обнаружил эксперт Исследовательского центра Positive Research компании Positive Technologies Дмитрий Гуцко в ходе анализа защищенности этой популярной сервисно-ориентированной интеграционной платформы. Получив доступ к дочерней системе модели SAP CUA, потенциальный злоумышленник имел возможность читать любые таблицы из центральной системы SAP CUA.

Уязвимость содержится в версиях NetWeaver 7.20 и ниже, поэтому пользователям настоятельно рекомендуется установить обновления продукта.

Positive Technologies сотрудничает с SAP SE (ранее — SAP AG) уже не первый год. Компания была включена в число сертифицированных партнеров SAP SE, а система контроля защищенности и соответствия стандартам MaxPatrol, разработанная Positive Technologies, успешно прошла сертификационные испытания SAP и получила статус SAP Certified Integration with SAP NetWeaver.

В настоящее время крупнейшие инсталляции SAP, защищаемые с помощью продуктов Positive Technologies, насчитывают более 700 экземпляров системы и обеспечивают взаимодействие более чем 400 тысяч пользователей. Оба новых продукта Positive Technologies — Application Inspector и Application Firewall — также учитывают специфику SAP: PT AI поддерживает анализ приложений на языках SAP ABAP и SAP Java, а PT AF содержит специализированные модули для блокирования атак нулевого дня, направленных на SAP Portal.

Эксперты Positive Technologies проводят бесплатные вебинары ( Безопасность бизнес-модулей SAP , Безопасность SAP CUA ) и выступают с тематическими докладами на крупнейших международных конференциях. В 2014 году совместно с «Информзащитой» были подготовлены авторизированные курсы «Безопасность систем SAP» для специалистов, отвечающих за повышение защищенности системы SAP; первые занятия пройдут 9 и 10 октября.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus