XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX بروزرسانی‌های شرکت SAP برای Internet Graphics Server | قرارگاه پدافند سایبری کشور | قرارگاه پدافند سایبری رفتن به محتوای اصلی
شنبه ۵ خرداد ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

بروزرسانی‌های شرکت SAP برای Internet Graphics Server

بروزرسانی‌های شرکت SAP برای Internet Graphics Server

در هفته جاری شرکت SAP بسته بروزرسانی امنیتی ماه می ۲۰۱۸ را منتشر کرده است. در این بسته تعداد زیادی از آسیب‌پذیری‌های محصولات این شرکت از قبیل ۴ باگ در Internet Graphics Server برطرف شده است. اکثر باگ‌های امنیتی برطرف شده در این ماه با درجه اهمیت متوسط رده‌بندی شده‌اند.

تعداد زیادی از این آسیب‌پذیری‌ها شامل عدم بررسی‌های مناسب برای احرازهویت و ایجاد وضعیت انکار سرویس (DoS) می‌باشند. با این حال SAP ایراداتی از قبیل تزریق اسکریپت از طریق وبگاه (XSS)، تزریق کد، افشای اطلاعات، عدم احرازهویت آدرس‌ها و ... را نیز برطرف ساخته است.

SAP Internet Graphics Server یا IGS موتور ایجاد اجزای گرافیکی SAP است که این محصول بیشترین ایراد امنیتی را در این ماه داشته است. این آسیب‌پذیری‌ها شامل CVE-۲۰۱۸-۲۴۲۰ (عدم اعتبار سنجی در بارگذاری فایل)، CVE-۲۰۱۸-۲۴۲۱، CVE-۲۰۱۸-۲۴۲۲ (انکار سرویس) و CVE-۲۰۱۸-۲۴۲۳ (انکار سرویس در IGS HTTP و RFC listener) می‌شود.

با بهره برداری از CVE-۲۰۱۸-۲۴۲۰، مهاجم می تواند به نشست کاربر دسترسی داشته باشد. علاوه بر این، از XSS نیز می‌توان برای تغییر غیر مجاز محتوای سایت استفاده کرد.

دیگر آسیب‌پذیری مهم این ماه CVE-۲۰۱۸-۲۴۱۸ است که بصورت تزریق کد در درایور ODBC SAP MaxDB می‌باشد. این نقص اجازه می‌دهد تا مهاجم کد خود را تزریق  اجرا کند، به اطلاعات حساس دسترسی پیدا کند.

در دوهفته گذشته، Onapsis اعلام کرد که ۹۰ درصد سیستم‌های SAP در معرض آسیب‌پذیری یک باگ در SAP Netweaver هستند. این باگ ابتدا در سال ۲۰۰۵ شناسایی شد. این آسیب‌پذیری به مهاجم دسترسی بدون محدودیت به سیستم را می‌دهد، همچنین اجازه استخراج داده‌ها و یا خاموش کردن سیستم را نیز برای مهاجم فراهم می‌کند.

۴۹