SAP厂商发现系统命令注入高危漏洞,需要尽快升级
10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVEID:CVE-2020-6364CVSS评分:10.0危急
SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。
CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。
受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7
2.CVEID:CVE-2020-6228CVSS评分:9.8高危
SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。
受影响的产品:SAPBusinessClient6.5,7.0版本
3.CVEID:CVE-2020-6296CVSS评分:8.3高危
SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。
SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。
受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755
4.CVEID:CVE-2020-6367CVSS评分:8.2高危
SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。
受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50
5.CVEID:CVE-2020-6366CVSS评分:7.6高
SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。
受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50
解决方案
SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。
相关新闻
-
斩获125个奖项!SAP 用实力诠释什么叫拿奖拿到手软
2020年,SAP 在全球范围内获得了125个与雇主相关的奖项,主要涉及: 卓越的职场环境 极具竞争力的人才培养体系 倡导工作与生活的平衡 平等&尊重 在大中华区我们也获得了很好的成绩: 思爱普(SAP)荣获「2020年度中国最受尊敬企业」称号思爱普(SAP)荣获「2020年大中华区最佳职场」奖项,并获得「2020年大中华区女性最佳职场」认证 | 连续五度上榜,成为「传奇企业」思爱普(SAP)大中华区荣登2020年亚洲「最佳职场」2020年 BrandZ 最具价值全球品牌:SAP 雄踞第…
-
SAP License:拒绝信息轰炸,抽丝剥茧谈ERP如何选型
ERP选型就跟买东西做生意一样,一定是带着自己的需求去挑选产品。考察一款ERP产品首先得确保它能满足企业的一些业务需求,这个是前提,然后才是价格、服务等其他方面。 翻看一些国产ERP厂商的官网或者产品介绍,丝毫找不到任何跟ERP相关的字眼,都是各种新鲜词汇进行轰炸,什么数智化、云原生、xx云、xx共享、xx机器人,让人看得一头雾水,特么这个是在选ERP产品啊,而不是被科普词汇,完全看不到它能解决什么问题。 而在售前的ERP选型会上也是各种莫名其妙的词汇,演讲的销售仿佛是打了鸡血的传销人员,一出口…
-
SAP License:选择SAP S/4HANA Cloud智能云ERP的理由
01 实现ERP智能化 SAP S/4HANA Cloud提供前瞻性的分析、机器学习功能和数字辅助功能来加速决策的制定,提高效率,提升用户能力,从而使ERP变得智能化。 1)前瞻性分析:实时关注企业运营的各个方面,从自动化迈进到智能化,并给出前瞻性建议。 2)嵌入式机器学习&AI(人工智能)功能:掌握新一代的创新性能,减少低价值和多余的工作步骤,帮助用户快速找出需要关注和采取措施的领域。 3)数字辅助功能:SAP CoPilot将机器学习功能作为用户的助手。用户在采取行动和做出决策时可以…
-
SAP License:ERP系统供应商管理都包含什么?
1、流程繁复,效率低下 传统采购模式要经过询价/报价、招标/投标、竞价谈判等繁杂流程,大型企业还要考虑到分支机构的采购管理问题,耗时耗力。如遇到企业有紧急需求的情况,而供应商响应客户需求的能力迟钝时,会导致采购成为一种盲目行为。 2、缺乏必要的监督,采购成为腐败温床 由于采购预算的管理、招标的操作涉及企业经营的敏感信息,采购工作往往不适合对外公开,再加上缺乏有效监督机制采购领域容易成为腐败的高发区。 3、供应商“暗箱操作”,增加企业成本 传统采购模式中,产品价格虚高已成为普遍现象,导致企业要在基…
-
SAP License:SAP权限管理讲财务(二)-看懂财务报表
财务信息的主要来源是企业的年度财务报告。这些文件包括资产负债表、收益表和现金流量表。在年度财务报告中,会发现,题为管理讨论与分析的部分。这是企业管理者发现管理中出现的问题和机会。财务报表附注虽然是以脚注的形式对财务报表所提供的信息进行的解释,但实际上,这与财务报表本身同样重要。这些附注可能会揭示企业的一些重要事项,例如重要的法律诉讼案、会计方法的变更、高级职员组成结构的变化、以及各商业分部的买卖和重组等。如何合理地减少纳税减税同增加收入和营业利润一样,增加了其净利润或称“底线”。通常,企业可以用…
-
SAP License:20个公司绝对不会告诉你的潜规则
1.入职时的工资高低不重要,只要你努力工作你会得到相应待遇的 我估计几乎找过工作的人都听过这句话,当我们确定被聘用跟公司谈工资时,他们都会说“如果以后你业绩突出、努力工作,你的报酬也会相应增加的”,特别是当第一次找工作的时候大多数人会相信这些话,但是千万别相信。 刚入职时,你的工资就是你的全部(当然有一些岗位,比如销售或弹性工资的岗位除外,而且你入职以后大部分待遇都会跟着你的工资而浮动,工资调整也是按你目前的工资乘于一定的百分比,保险、公积金也跟工资有关系),当你的基本工资低的时候你今后的报酬增…
