شرکت SAP در بهروزرسانیهای جدید خود چهار آسیبپذیری را در Internet Graphics Server برطرف کرد.
منبع : مرکز مدیریت راهبردی افتا ریاست جمهوری
شرکت SAP در بهروزرسانیهای جدید خود چهار آسیبپذیری را در Internet Graphics Server برطرف کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت SAP بسته بهروزرسانی امنیتی ماه می ۲۰۱۸ خود را منتشر کردهاست. در این بسته تعداد زیادی از آسیبپذیریهای محصولات این شرکت از قبیل چهار آسیبپذیری در Internet Graphics Server برطرف شدهاست. اکثر آسیبپذیریهای امنیتی برطرفشده در این ماه با درجه اهمیت متوسط ردهبندی شدهاند.
تعداد زیادی از این آسیبپذیریها شامل عدم بررسیهای مناسب برای احراز هویت و ایجاد وضعیت انکار سرویس (DoS) هستند. با این حال SAP ایراداتی از قبیل تزریق اسکریپت از طریق وبسایت (XSS)، تزریق کد، افشای اطلاعات، عدم احرازهویت آدرسها و ... را نیز برطرف ساختهاست.
SAP Internet Graphics Server یا IGS موتور ایجاد اجزای گرافیکی SAP است که این محصول بیشترین ایراد امنیتی را در این ماه داشتهاست. این آسیبپذیریها شامل CVE-۲۰۱۸-۲۴۲۰ (عدم اعتبار سنجی در بارگذاری فایل)، CVE-۲۰۱۸-۲۴۲۱ ،CVE-۲۰۱۸-۲۴۲۲ (انکار سرویس) و CVE-۲۰۱۸-۲۴۲۳ (انکار سرویس در IGS HTTP و RFC listener) میشود.
با بهرهبرداری از CVE-۲۰۱۸-۲۴۲۰، مهاجم میتواند به نشست کاربر دسترسی داشتهباشد. علاوهبر این از XSS نیز میتوان برای تغییر غیر مجاز محتوای سایت استفاده کرد. دیگر آسیبپذیری مهم این ماه CVE-۲۰۱۸-۲۴۱۸ است که بهصورت تزریق کد در درایور ODBC SAP MaxDB است. این نقص اجازه میدهد تا مهاجم کد خود را تزریق اجرا کند به اطلاعات حساس دسترسی پیدا کند.
در دو هفته گذشته، Onapsis اعلام کرد که ۹۰ درصد سیستمهای SAP در معرض آسیبپذیری یک آسیبپذیری در SAP Netweaver هستند. این آسیبپذیری ابتدا در سال ۲۰۰۵ شناسایی شد. این آسیبپذیری به مهاجم دسترسی بدون محدودیت به سیستم را میدهد، همچنین اجازه استخراج دادهها و یا خاموش کردن سیستم را نیز برای مهاجم فراهممیکند.