В этой статье затрагиваются вопросы усиления безопасности шифрования для сервера приложений NetWeaver AS Java (v. 7.0 и старше) и на том, как уменьшить вероятность атаки BEAST. С точки зрения настроек SSL различие в том, что версии AS Java 7.10 и выше используют менеджер подключения к Сети (ICM), а более старые – Web Dispatcher. Диспетчер поддерживает соединения с клиентами, в том числе отвечает за SSL/TLS-соединения.
В свете растущей важности информационной безопасности и возросших требований к безопасности корпорация SAP начала работу по внедрению в свои продукты новой возможности - политик безопасности, подобных групповым политикам в Active Directory.
Исправление BEAST на серверной стороне состоит, по большому счету, в выборе подходящих шифров, которым разрешено устанавливать соединение SSL/TLS. Проблема в том, что владельцу системы непросто найти баланс между безопасностью и удобством.
В новостях месяц назад проскочила новость об атаке на греческое министерство финансов группировкой Anonymous, которые уже прославились множеством атак на государственные органы и финансовые компании. К сожалению, всё это время я был перегружен работой и не смог осветить данное событие вовремя, но тем не менее считаю должным высказаться хотя бы постфактум.
Компания SAP выпустила ежемесячный набор обновлений безопасности за сентябрь 2012 года. В этом месяце SAP закрыла некоторые архитектурные проблемы, помимо обыкновенных уязвимостей типа XSS или отсутствия проверки авторизации. Как и в обновлениях за предыдущие два месяца, проблемы связаны с интерфейсом XML.
Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2012 года. В этом месяце SAP закрыла некоторые архитектурные проблемы, помимо обыкновенных уязвимостей типа XSS или отсутствия проверки авторизации.
За последний месяц в области безопасности SAP произошло несколько значимых событий, о которых я хотел бы рассказать.
Во-первых, прошли две крупных конференции по безопасности, где затрагивалась тема безопасности SAP: BlackHat и Defcon...
Компания SAP выпустила ежемесячный набор обновлений безопасности за июль 2012 года. Данный набор обновлений закрывает 20 уязвимостей в продуктах SAP (17 с высоким приоритетом и 3 со средним), в том числе две архитектурные проблемы, которые будут представлены на конференции BlackHat в Лас-Вегасе и были обнаружены специалистами компании Digital Security.
Компания SAP выпустила ежемесячный набор обновлений безопасности за июнь 2012 года. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP.
На днях компанией ZDI были опубликованы подробности двух уязвимостей переполнения буфера в сервисе SAP Message Server. Обе уязвимости можно проэксплуатировать анонимно и выполнить произвольный код на сервере.
Несколько слов об обновлении по безопасности от SAP за апрель 2012 года, с небольшой задержкой. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP, 4 из которых было обнаружено сторонними исследователями. В сегодняшней заметке я расскажу подробнее об обнаруженных уязвимостях, а также продолжу тему уязвимостей отсутствия проверки авторизации.
Компания SAP выпустила ежемесячный набор обновлений безопасности за март 2012 года. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP. В общей сложности было исправлено более 40 различных уязвимостей, 7 из которых было обнаружено сторонними исследователями, в том числе и сотрудниками нашей компании.
В сегодняшней заметке я расскажу подробнее об обнаруженных уязвимостях и о том, какие риски несут эти уязвимости.
Хорошая новость для сообщества пользователей SAP: вышло обновление документа "Безопасная настройка сервера приложений SAP NetWeaver ABAP" до версии 1.2. Я надеюсь, что этот документ будет использоваться на практике в качестве стандарта де-факто по безопасной конфигурации SAP NetWeaver ABAP. Давайте посмотрим, какие новшества появились в новой версии.
