Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1092631-24)
Описание
Переполнение буфера является серьезной программной ошибкой, которая может быть использована для получения удаленного контроля над ПК.
Как исправить
SAP считает, что данная проблема заслуживает пристального внимания, поэтому предприняла меры по защите своих клиентов:
На протяжении многих лет мы занимаемся контролем качества и анализом безопасности для выявления подобных проблем. К сожалению, невозможно гарантировать отсутствие уязвимостей в графическом интерфейсе SAP, поскольку данные методы не гарантируют отсутствие переполнения буфера.
Поскольку наибольшая вероятность проведения атаки возникает при вызове подверженного переполнению файла в веб-браузере, мы устанавливаем так называемый "kill bit" (запрет на использование) для всех файлов, относящихся к установке графического интерфейса SAP для Windows. "Kill bit" запрещает использование файлов графического интерфейса SAP на веб-страницах из Microsoft Internet Explorer, но не запрещает использование самого графического интерфейса SAP в рамках SAP Enterprise Portal. В результате чего не возникает функциональных ограничений.
Чтобы понизить степень уязвимости, необходимо:
Обновить графический интерфейс SAP для Windows до версии 7.10 (по крайней мере до patchlevel 11). Это обновление, созданное при помощи Microsoft Visual Studio 2005, обеспечивает дополнительные меры безопасности для графического интерфейса SAP. Таким образом, обновленный графический интерфейс SAP для Windows 7.10 может считаться более безопасным, по сравнению с более ранними версиями.
Обновить графический интерфейс SAP до версии с последним доступным исправлением. Мы постоянно улучшаем безопасность графического интерфейса SAP, а последние версии являются самыми безопасными из доступных.
Можно снизить степень уязвимости, использовав файлы реестра, прикрепленные к данному извещению. Такой же уровень безопасности обеспечивается версией patchlevel 12 графического интерфейса SAP для Windows 7.10.
SAP рекомендует реализовать все вышеуказанное.
На протяжении многих лет мы занимаемся контролем качества и анализом безопасности для выявления подобных проблем. К сожалению, невозможно гарантировать отсутствие уязвимостей в графическом интерфейсе SAP, поскольку данные методы не гарантируют отсутствие переполнения буфера.
Поскольку наибольшая вероятность проведения атаки возникает при вызове подверженного переполнению файла в веб-браузере, мы устанавливаем так называемый "kill bit" (запрет на использование) для всех файлов, относящихся к установке графического интерфейса SAP для Windows. "Kill bit" запрещает использование файлов графического интерфейса SAP на веб-страницах из Microsoft Internet Explorer, но не запрещает использование самого графического интерфейса SAP в рамках SAP Enterprise Portal. В результате чего не возникает функциональных ограничений.
Чтобы понизить степень уязвимости, необходимо:
Обновить графический интерфейс SAP для Windows до версии 7.10 (по крайней мере до patchlevel 11). Это обновление, созданное при помощи Microsoft Visual Studio 2005, обеспечивает дополнительные меры безопасности для графического интерфейса SAP. Таким образом, обновленный графический интерфейс SAP для Windows 7.10 может считаться более безопасным, по сравнению с более ранними версиями.
Обновить графический интерфейс SAP до версии с последним доступным исправлением. Мы постоянно улучшаем безопасность графического интерфейса SAP, а последние версии являются самыми безопасными из доступных.
Можно снизить степень уязвимости, использовав файлы реестра, прикрепленные к данному извещению. Такой же уровень безопасности обеспечивается версией patchlevel 12 графического интерфейса SAP для Windows 7.10.
SAP рекомендует реализовать все вышеуказанное.
Ссылки