Меню

Усиление настроек SSL/TLS за счет использования безопасных типов шифрования на сервере приложений NetWeaver AS Java 7.0x и 6.40

В этой статье затрагиваются вопросы усиления безопасности шифрования для сервера приложений NetWeaver AS Java (v. 7.0 и старше) и на том, как уменьшить вероятность  атаки BEAST. С точки зрения настроек SSL различие в том, что версии AS Java 7.10 и выше используют менеджер подключения к Сети (ICM), а более старые – Web Dispatcher. Диспетчер поддерживает соединения с клиентами, в том числе отвечает за SSL/TLS-соединения.

Как удалять неиспользуемые клиенты, включая клиент 001 и 066

Удаление неиспользуемых клиентов может существенно снизить объем работ по текущему техническому обслуживанию и заметно повысить безопасность.

Политики безопасности SAP: групповые политики

В свете растущей важности информационной безопасности и возросших требований к безопасности корпорация SAP начала работу по внедрению в свои продукты новой возможности - политик безопасности, подобных групповым политикам в Active Directory.

Как защитить серверы приложений ABAP и Java от BEAST-атак

Исправление BEAST на серверной стороне состоит, по большому счету, в выборе подходящих шифров, которым разрешено устанавливать соединение SSL/TLS. Проблема в том, что владельцу системы непросто найти баланс между безопасностью и удобством.

Греческое министерство финансов было атаковано через уязвимость в SAP

В новостях месяц назад проскочила новость об атаке на греческое министерство финансов группировкой Anonymous, которые уже прославились множеством атак на государственные органы и финансовые компании.  К сожалению, всё это время я был перегружен работой и не смог осветить данное событие вовремя, но тем не менее считаю должным высказаться хотя бы постфактум.

Критические обновления безопасности от SAP за сентябрь 2012

Компания SAP выпустила ежемесячный набор обновлений безопасности за сентябрь 2012 года. В этом месяце SAP закрыла некоторые архитектурные проблемы, помимо обыкновенных уязвимостей типа XSS или отсутствия проверки авторизации. Как и в обновлениях за предыдущие два месяца, проблемы связаны с интерфейсом XML.

Критические обновления безопасности от SAP за август 2012

Компания SAP выпустила ежемесячный набор обновлений безопасности за август 2012 года. В этом месяце SAP закрыла некоторые архитектурные проблемы, помимо обыкновенных уязвимостей типа XSS или отсутствия проверки авторизации.

Последние новости безопасности SAP

За последний месяц в области безопасности SAP произошло несколько значимых событий, о которых я хотел бы рассказать.
Во-первых, прошли две крупных конференции по безопасности, где затрагивалась тема безопасности SAP: BlackHat и Defcon...

Июльские обновления безопасности SAP

Компания SAP выпустила ежемесячный набор обновлений безопасности за июль 2012 года. Данный набор обновлений закрывает 20 уязвимостей в продуктах SAP (17 с высоким приоритетом и 3 со средним), в том числе две архитектурные проблемы, которые будут представлены на конференции BlackHat в Лас-Вегасе и были обнаружены специалистами компании Digital Security.

Июньские обновления безопасности SAP

Компания SAP выпустила ежемесячный набор обновлений безопасности за июнь 2012 года. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP.

Критическая уязвимость в SAP Message Server - данные по мировому сканированию

На днях компанией ZDI были опубликованы подробности двух уязвимостей переполнения буфера в сервисе SAP Message Server. Обе уязвимости можно проэксплуатировать анонимно и выполнить произвольный код на сервере.

Апрельские обновления безопасности SAP и продолжение об отсутствии проверок авторизации

Несколько слов об обновлении по безопасности от SAP за апрель 2012 года, с небольшой задержкой. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP, 4 из которых было обнаружено сторонними исследователями. В сегодняшней заметке я расскажу подробнее об обнаруженных уязвимостях, а также продолжу тему уязвимостей отсутствия проверки авторизации.

Мартовские обновления безопасности SAP и уязвимости отсутствия авторизации

Компания SAP выпустила ежемесячный набор обновлений безопасности за март 2012 года. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP. В общей сложности было исправлено более 40 различных уязвимостей, 7 из которых было обнаружено сторонними исследователями, в том числе и сотрудниками нашей компании.

В сегодняшней заметке я расскажу подробнее об обнаруженных уязвимостях и о том, какие риски несут эти уязвимости.

Обзор последних изменений в стандарте базопасности SAP

Хорошая новость для сообщества пользователей SAP: вышло обновление документа "Безопасная настройка сервера приложений SAP NetWeaver ABAP" до версии 1.2. Я надеюсь, что этот документ будет использоваться на практике в качестве стандарта де-факто по безопасной конфигурации SAP NetWeaver ABAP. Давайте посмотрим, какие новшества появились в новой версии.