В системах SAP найдено 3000 уязвимостей

Александр Панасенко 19 Июня 2014 - 12:33

...

Эксперты компании Digital Security, предоставляющей консалтинговые услуги в области ИБ, сообщили о результатах семилетней работы по анализу уязвимостей платформы SAP. По информации, опубликованной на официальном портале SAP, всего было обнаружено 3000 уязвимостей. Значительная их часть была закрыта при помощи команды Digital Security.

Александр Поляков, технический директор компании Digital Security, дает следующие комментарии к проведенному исследованию: «В соответствии с данными портала cvedetails.com, собирающего информацию по всем публичным уязвимостям, а также наиболее уязвимым вендорам, по количеству CVE продукты SAP находятся на 37 месте в списке производителей. Однако стоит понимать, что не все проблемы SAP имеют CVE. Сами представители SAP их не публикуют, в то время как сторонние исследователи тоже делают это лишь изредка, сообщает cnews.ru.

Поэтому, если мы будем судить по количествам публичных уведомлений об уязвимостях (advisories), количество которых насчитывает чуть более 500, то SAP находится на 15 месте. В тоже время, если мы будем считать по числу уязвимостей, закрытых производителем в общем, включая внешние и внутренние, то их наберется 3013. В таком случае, SAP окажется на втором месте после Microsoft. Отметим, что такое сравнение является не совсем правомерным, поскольку Microsoft закрывает множество проблем внутренне. Впрочем, и SAP также может закрывать часть уязвимостей без выпуска SAP Security Note (патчей для проблем безопасности)».

«Если в прошлые годы лишь 10% от найденных уязвимостей, публикуемых ежемесячно, было найдено сторонними наблюдателями, то в последних обновлениях их количество возросло до 60-70%. В тоже время, общее число выпускаемых патчей по безопасности SAP уменьшается с каждым годом», - говорит Александр Поляков.

По его словам, в каждом отдельном продукте SAP за год находится разное количество уязвимостей. Для некоторых новых платформ, таких, например, как HANA, процент проблем стремительно растет с каждым годом, в то время как для платформ JAVA остается почти неизменным. «В случае же со старыми платформами, включая ABAB, можно наблюдать даже некоторое снижение. Также существенно сокращается количество уязвимостей внутри клиентских приложений, особенно в сравнении с 2010 г., когда мы впервые стали их изучать», - отмечает Поляков.

«Для безопасности SAP существует ряд исключительных моментов. Например, такие уязвимости, как повреждение памяти (Memory Corruption), в том числе, переполнение буфера, в мире являются самыми распространенными (порядка 14% от всех проблем), а для SAP они составляют лишь 2 %, причем менее половины из них могут быть использованы для выполнения произвольного кода, и в основном встречаются в клиентских приложениях. В то же время количество проблем, связанных с конфигурацией, составляет 11 % всех проблем SAP-безопасности, а для остального мира этот показатель достигает всего 2 %», - добавляет Александр Поляков.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Мая 2026 - 15:32

Соответствие законодательству РФ Корпорации Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Маркетплейсы потеряли до 10% трафика после блокировки VPN

Российские маркетплейсы в апреле столкнулись с падением пользовательской активности после новых ограничений на VPN-трафик. Больше всего досталось Wildberries: по оценкам экспертов, мобильный веб-трафик площадки за месяц сократился на 10%, а десктопный — на 6%.

Об этом пишет «Коммерсантъ» со ссылкой на данные Digital Budget. У Ozon и «Яндекс Маркета» мобильный трафик в апреле снизился на 3%, у «Авито» — на 1,5%. На десктопе картина мягче: у Ozon трафик даже вырос на 1%, у «Авито» — на 2%, а у «Яндекс Маркета» — сразу на 26%. Но Wildberries оказался в минусе и там.

Причину участники рынка связывают с требованием Минцифры ограничивать доступ к российским платформам через VPN. В конце марта стало известно, что ИТ-компании, которые не будут блокировать такой трафик, могут лишиться места в профильном реестре министерства. А заодно — вылететь из «белого списка» сайтов, доступных при отключении интернета.

Проблема в том, что многие пользователи держат VPN включённым постоянно, не специально ради маркетплейсов, а просто в фоне для других сервисов. В итоге человек открывает приложение, видит сбои, задержки или недоступность, закрывает его и идёт заниматься жизнью. Корзина подождёт, продавцы — нет.

По оценке Strategy Partners, трафик приложений маркетплейсов в апреле сократился на 2-10% в зависимости от площадки. Продажи могли просесть до 4%, поскольку активное ядро покупателей всё же остаётся. Но для отрасли даже такие проценты — не мелочь.

По оценкам селлеров, падение выручки в апреле составило от 3% до 30% по сравнению с мартом. Они напрямую связывают это с блокировками VPN. Операционный директор «Рейтинга Рунета» Анатолий Денисов оценивает возможные денежные потери площадок примерно в 1%. Если пересчитать на общий объём продаж маркетплейсов в 2025 году — 8,59 трлн рублей, — речь может идти примерно о 7 млрд рублей.

В Ассоциации компаний интернет-торговли считают, что ограничения VPN-трафика усложняют доступ к российским сервисам как для покупателей внутри страны, так и за рубежом. А это уже бьёт не только по удобству, но и по конкурентоспособности площадок.

Отдельно эксперты отмечают, что лучше держатся сервисы внутри крупных экосистем. Например, «Яндекс Маркет» мог частично компенсировать потери за счёт поиска, браузера, рекламной сети и других продуктов «Яндекса». Если пользователь не пришёл через один вход, экосистема может аккуратно провести его через другой.

А вот площадки, которые сильнее зависят от внешнего трафика, рекламы в соцсетях и переходов из мессенджеров, оказываются уязвимее. Для них VPN-блокировки — это не просто техническая мера, а реальный удар по воронке продаж.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!