SAP厂商发现系统命令注入高危漏洞,需要尽快升级
10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVEID:CVE-2020-6364CVSS评分:10.0危急
SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。
CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。
受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7
2.CVEID:CVE-2020-6228CVSS评分:9.8高危
SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。
受影响的产品:SAPBusinessClient6.5,7.0版本
3.CVEID:CVE-2020-6296CVSS评分:8.3高危
SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。
SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。
受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755
4.CVEID:CVE-2020-6367CVSS评分:8.2高危
SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。
受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50
5.CVEID:CVE-2020-6366CVSS评分:7.6高
SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。
受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50
解决方案
SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。
相关新闻
-
对SaaS版ERP最好的比喻
前两天跟一个朋友聊天,他长期服务国内中小企业,主业是SaaS版ERP,亦称云ERP。因为SaaS版ERP对很多业务无法支持,开发也很不容易,于是加我要SAP系统,看看大型企业在用的高端ERP是怎么支持的。 交流过程中谈到SaaS模式,什么不灵活,在开发定制难等都不必说,他对SaaS的一个比喻我觉得非常妙: SaaS的本质就像是一款游戏,提供SaaS服务的企业就像是游戏公司! 这比喻简直不能再恰当了。 很多人都在玩游戏,你登录游戏之后可以在里面刷副本打Boss,做各种活动,购买各种道具和养成。在使…
-
SAP License:不要过分迷信开源ERP
之前发的一篇关于免费ERP的文章,很多人说选择免费ERP还不如考虑开源的ERP,甚至有人说开源ERP才是趋势,喏,你看,又来一个趋势。 确实,从很多方面来看开源ERP比免费ERP更有搞头,至少它给了企业更灵活定制的空间,有了实现企业内部复杂、精细化、个性化的业务管理的资本,这不需要支付额外的费用给供应商的自定义服务和自定义许可。 企业可以在开源架构的基础上进一步对ERP功能进行修改扩充,对于开源ERP软件是企业的一种可行的选择,这要求企业必须雇佣拥有很优秀的ERP开发和编程技能的IT人员。当然,…
-
SAP License:ERP之路
不是第一次尝试写ERP的文章,只是我觉得,倘若自己没有半桶水,便搜尽脑汁东拼西凑生搬硬套胡说八道,飘飘然炫出一篇杂文,也道不出ERP那其中的滋味。所以,一提到书写的自己便惶恐不已,拼命的补习些知识和道理。那知,越看越感觉心虚,越觉得与ERP相关的东西浩如大海。随着从一些个小系统慢慢有机会做到SAP这个庞然大物,在知识面加宽的同时,也知道自己更无知。所以,我只是述说一下,我的ERP之路和其中的感受。 国际惯例,介绍一下我的从业经历。我非科班出身,甚至不能算科班(早期读的中专未毕业,就算后来自学自考…
-
SUSE与SAP携手创新,SLES登陆SAP App Center
2021年2月3日,全球开源创新领导者SUSE正式宣布,SUSE Linux Enterprise Server (SLES) for SAP Applications现已成为SAP Endorsed App,可在SAP App Center中使用。“SAP Endorsed App”是SAP新设立的SAP合作伙伴生态系统中的一种解决方案类别, 它是对SAP产品的扩展及补充,旨在为客户提供更快速、更简易且具有SAP支持的解决方案。SLES的可靠性在通过SAP深度测试时已得到强有力的验证,产品也已…
-
SAP License:专业ERP系统如何控制中小企业成本
对于很多中小企业来讲,由于牌子并不是很出众,生产量也不是特别大,所以竞争的核心就转移到了节省成本方面,那么,专业ERP系统如何控制中小企业成本?下面看看专家的介绍: 在市场竞争异常激烈的今天,一个企业是否具有市场竞争力最终取决于企业在多大程度上能够对成本控制有所作为,低成本成为衡量企业是否具有竞争优势的重要砝码。加强成本管理,更有效地降低成本,在企业经营战略中已处于极其重要的核心地位,它从根本上决定着企业竞争力的强弱。在信息化的条件下,企业如何充分运用专业中小企业ERP系统中“成本控制”思想达到…
-
SAP中国,跟进新时代步伐,建设新生态系统,加入国内加速计划
SAP全球高级副总裁、中国总经理李强。在拜会SAP中国的第一个客户,上海机床厂的时候。发现他们还保留着,最初部署SAP系统的机房。这个机房,其实已经算是一种历史的见证。当初国内市场刚刚开始改革开放,更是还处于最初状态。上海机床厂以贷款的方式,引进了SAP R2系统。在这三十年的交往过程之中,SAP系统更是在不断地完善进步。加大了与国内客户的,合作机会。 一、下一代生态系统 目前SAP为了能够与,国内高质量的发展目标相互配合。SAP启用了全球范围内,首次针对区域地区的本土化战略目标。而期限为五年的…
