به‌روزرسانی امنیتی در محصولات SAP
رفع چهار آسیب‌پذیری در Internet Graphics Server
کد مطلب: 14076
تاریخ انتشار : يکشنبه ۳۰ ارديبهشت ۱۳۹۷ ساعت ۰۸:۵۳
 
شرکت SAP در به‌روزرسانی‌های جدید خود چهار آسیب‌پذیری را در Internet Graphics Server برطرف کرد.
رفع چهار آسیب‌پذیری در  Internet Graphics Server
 
 
Share/Save/Bookmark
شرکت SAP در به‌روزرسانی‌های جدید خود چهار آسیب‌پذیری را در Internet Graphics Server برطرف کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت SAP بسته به‌روزرسانی امنیتی ماه می ۲۰۱۸ خود را منتشر کرده‌است. در این بسته تعداد زیادی از آسیب‌پذیری‌های محصولات این شرکت از قبیل چهار آسیب‌پذیری در Internet Graphics Server برطرف شده‌است. اکثر آسیب‌پذیری‌های امنیتی برطرف‌شده در این ماه با درجه اهمیت متوسط رده‌بندی شده‌اند.

تعداد زیادی از این آسیب‌پذیری‌ها شامل عدم بررسی‌های مناسب برای احراز هویت و ایجاد وضعیت انکار سرویس (DoS) هستند. با این حال SAP ایراداتی از قبیل تزریق اسکریپت از طریق وب‌سایت (XSS)، تزریق کد، افشای اطلاعات، عدم احرازهویت آدرس‌ها و ... را نیز برطرف ساخته‌است.

SAP Internet Graphics Server یا IGS موتور ایجاد اجزای گرافیکی SAP است که این محصول بیشترین ایراد امنیتی را در این ماه داشته‌است. این آسیب‌پذیری‌ها شامل CVE-۲۰۱۸-۲۴۲۰ (عدم اعتبار سنجی در بارگذاری فایل)، CVE-۲۰۱۸-۲۴۲۱ ،CVE-۲۰۱۸-۲۴۲۲ (انکار سرویس) و CVE-۲۰۱۸-۲۴۲۳ (انکار سرویس در IGS HTTP و RFC listener) می‌شود.

با بهره‌برداری از CVE-۲۰۱۸-۲۴۲۰، مهاجم می‌تواند به نشست کاربر دسترسی داشته‌باشد. علاوه‌بر این از XSS نیز می‌توان برای تغییر غیر مجاز محتوای سایت استفاده کرد. دیگر آسیب‌پذیری مهم این ماه CVE-۲۰۱۸-۲۴۱۸ است که به‌صورت تزریق کد در درایور ODBC SAP MaxDB است. این نقص اجازه می‌دهد تا مهاجم کد خود را تزریق اجرا کند به اطلاعات حساس دسترسی پیدا کند.

در دو هفته گذشته، Onapsis اعلام کرد که ۹۰ درصد سیستم‌های SAP در معرض آسیب‌پذیری یک آسیب‌پذیری در SAP Netweaver هستند. این آسیب‌پذیری ابتدا در سال ۲۰۰۵ شناسایی شد. این آسیب‌پذیری به مهاجم دسترسی بدون محدودیت به سیستم را می‌دهد، همچنین اجازه استخراج داده‌ها و یا خاموش کردن سیستم را نیز برای مهاجم فراهم‌می‌کند.
مرجع : مرکز مدیریت راهبردی افتا ریاست جمهوری