شرکت SAP چندین آسیب‌پذیری را در محصول مدیریتی پایگاه داده‌ خود وصله می‌کند!

۱۸۶۵شرکت SAP طی هفته جاری هم‌زمان با شرکت‌های Microsoft و Adobe، به‌روزرسانی‌های امنیتی ماهانه خود را به منظور رفع ۱۹ آسیب‌پذیری در محصولات خود عرضه کرد. گفتنی است که ۳ مورد از این آسیب‌پذیری‌ها طی گزارش‌های این شرکت، با درجه خطر بالا قلمداد شده بودند.

رفع اشکال‌های ماه سپتامبر توسط این شرکت شامل ۱۱ یادداشت امنیتی، ۳ به‌روزرسانی برای یادداشت‌های قبلی و همچنین ۵ یادداشت بسته پشتیبانی است.

گزارش‌های این شرکت در این خصوص نشان می‌دهد که بیشتر آسیب‌پذیری‌های موجود به دلیل عدم بررسی‌های سطح اختیارات بوده است. این مشکل در بیشتر محصولات شرکت SAP مشاهده می‌شود. در عین حال، وصله‌های طراحی‌شده در این خصوص در ماه جاری آسیب‌پذیری‌هایی مانند افشای اطلاعات، منع سرویس، حملات XSS و همچنین تزریق SQL را رفع می‌کنند.

شرکت ERPScan که یک شرکت متخصص در محافظت از سامانه‌های برنامه‌ریزی منابع سازمانی۱ شرکت‌های SAP و Oracle است، اعلام کرد که دو مورد از این سه آسیب‌پذیری‌ جدی در کارگزار ASE شرکت SAP که یک محصول مدیریت پایگاه داده مدل رابطه‌‌ای است، مشاهده می‌شود. بررسی‌ها در این خصوص نشان می‌دهد که این آسیب‌پذیری‌ها مربوط به اشکال‌های تزریق SQL هستند که به نفوذگران امکان اجرای جستجوهای SQL جعلی را می‌دهند.

شرکت ERPScan طی یک پست در این خصوص یادآور شد: «کارگزار ASE اطلاعات ارزشمند و محرمانه شرکت را ذخیره می‌کند و با توجه به این مسئله، می‌توان به طور قطع ادعا کرد که پایگاه داده ASE در شرکت SAP با وجود این آسیب‌پذیری‌ها، یک گنجینه ارزشمند برای نفوذگران بوده است. در عین حال، دو آسیب‌پذیری رفع شده در این پایگاه مربوط به حملات تزریق SQL هستند. با استفاده از این آسیب‌پذیری‌ها، یک کاربر احراز هویت‌شده در کارگزار ASE می‌تواند به راحتی فرآیندهای ذخیره‌شده را با استفاده از دستورات SQL طراحی و اجرا کند.»

علاوه بر این، سومین آسیب‌پذیری خطرناکی که توسط شرکت SAP طی ماه جاری رفع شد، یک آسیب‌پذیری منع از سرویس بوده است که در محصول Business Objects BI Launchpad شناسایی شده بود.

گزارش منتشر شده از سوی ERPScan در ماه گذشته نشان می‌دهد که از ماه ژوئن سال جاری، شرکت SAP بیش از ۳۶۶۰ یادداشت امنیتی و یادداشت بسته‌های پشتیبانی را برای هزاران آسیب‌پذیری موجود عرضه کرده است.

همچنین شرکت امنیتی Onapsis نیز طی گزارشی در این خصوص بیان کرد که برخی از آسیب‌پذیری‌های موجود در محصولات SAP منجر به آلودگی بیش از ۱۰ هزار مشتری این محصولات شده است. این شرکت در ماه می نیز هشدار داد که بیش از ۳۶ تجارت جهانی به دلیل وجود یک اشکال در یکی از محصولات SAP مورد نفوذ واقع شده‌اند. شایان‌ذکر است که این آسیب‌پذیری ۵ سال پیش وصله شده بود.

۱. Enterprise Resource Planning (ERP)

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.