Компания SAP выпустила ежемесячный набор обновлений безопасности за сентябрь 2012 года. Данный набор обновлений закрывает 27 уязвимостей в продуктах SAP (двум из них присвоена категория сенсации, 19 имеют высокий приоритет, 5 – средний и одна – низкий). Среди закрытых уязвимостей были обнаружены следующие типы:

• 9 уязвимостей межсайтового скриптинга
• 4 уязвимости обхода каталога
• 4 уязвимости отсутствия проверки авторизации
• 2 уязвимости удаленного выполнения команд
• 1 уязвимость раскрытия информации
• 1 уязвимость подделки межсайтовых запросов
• 5 других уязвимостей

Некоторые из наших читателей и клиентов просили нас указывать наиболее критичные проблемы, чтобы они могли исправлять их в первую очередь. Итак, самые важные уязвимости сентябрьского обновления исправлены в следующих уведомлениях безопасности SAP:

1744122: комплексное обновление iXML Engine, которое необходимо установить для поддержки будущих обновлений безопасности XML. Обязательно к тщательному изучению и установке вместе с другими сопутствующими патчами. Это обновление добавляет в систему дополнительные настройки безопасности для iXML Engine, позволяющие предупреждать такие атаки, как XXE, XML Bombs и другие. 
1576215: удаленное выполнение команд с помощью RFC-функций. 
1668224: удаленное выполнение команд с помощью RFC-функций.