Хакер #305. Многошаговые SQL-инъекции
Во вторник SAP – одно из крупнейших предприятий по производству
бизнес-приложений и программного обеспечения для организаций и предприятий –
выпустило огромное количество так называемых Security Notes. Сообщение,
отправленное клиентам SAP завуалированно сообщает о "значительном количестве
заметок", по слухам их число составляет 525.
По данным рассылки, такое количество обусловлено использованием новых
программ и средств обеспечения качества кода. Уязвимости варьируются от
directory traversal (удаленного обхода директорий) к межсайтовому скриптингу до
выполнения SQL-кода. Тем не менее большинство патчей может быть установлено
через "технический апгрейд" SAP Business Suite 7 Innovations 2010. И останется
лишь небольшое количество патчей для добавления вручную.
Подробности об уязвимостях в системе защиты и патчах открыто не публикуются и
доступны лишь для пользователей с доступом к Service Market Place.