SAP厂商发现系统命令注入高危漏洞,需要尽快升级

10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:

SAP厂商发现系统命令注入高危漏洞,需要尽快升级 图1

漏洞详情

1.CVEID:CVE-2020-6364CVSS评分:10.0危急

SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。

CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。

受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7

2.CVEID:CVE-2020-6228CVSS评分:9.8高危

SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。

受影响的产品:SAPBusinessClient6.5,7.0版本

3.CVEID:CVE-2020-6296CVSS评分:8.3高危

SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。

ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。

SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。

受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755

4.CVEID:CVE-2020-6367CVSS评分:8.2高危

SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。

受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50

5.CVEID:CVE-2020-6366CVSS评分:7.6高

SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。

受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50

解决方案

SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。

相关新闻

  • ERP项目应该由谁来主导?

    ERP项目应该由谁来主导?

    前段时间在朋友圈看到了别人分享的公众号,主要是谈ERP项目应该由谁来主导的问题。文章的观点认为应该由哪个部门主导ERP的判断标准如下: 1、应该由一个期望上进的部门主导ERP项目; 2、应该由一个有话语权的部门主导ERP项目; 听起来好像头头是道很有道理的样子,但我严重不敢苟同。且不论期望上进的部门怎么界定的问题,难道ERP项目的推进是单单靠话语权来强制决定的?NONONO。 那么,下面我简要来说一下ERP项目应该由谁来主导的问题。首先我想说不应该由哪些部门来主导! 01、不应该由信息部来主导 …

    行业动态 2020/09/07
  • SAP License:解释一下目标成本、计划成本和标准成本的区别

    SAP License:解释一下目标成本、计划成本和标准成本的区别

    假定下面的场景 1. 成品A下面需要两个组件B(2个)、 C(3个); 2. 原材料B的成本视图有三个价格:标准价格-2元;计划价格-1.5元;移动平均价-2.2元; 3. 原材料C的成本视图也有三个价格:标准价格-3元;计划价格-2.6元;移动平均价-2.5元;    注:根据核算变式中定义的存取顺序取价 4. 成本中心对应的价格为:人工-3元/H;   机器-2元/H ;(KP26中的价格-计划作业价格) 5. 工艺路线数据(只有一道工序):人工-0.…

    行业动态 2021/05/21
  • SAP License:ERP到底能带给企业什么

    SAP License:ERP到底能带给企业什么

    ERP到底能带给企业什么?这个问题一直以来一直困扰着很多的人,更不能了解ERP到底有什么价值。从客户的脚步去理解ERP,ERP是给企业使用的,让企业用户不但可以理解其专一的一面,也要让用户认识到,在信息化时代的今天,企业走向信息化已经是大势所趋。 对于企业信息化给企业带来了更多的效益,更会宽广的销售平台,那么ERP是什么?这个问题还是有很多企业不清楚,更不能理解ERP到底能带给企业什么?特别是从用户的角度如何认识和理解ERP是非常重要的,ERP是给企业使用的,那就一定要用企业可以理解和接受的言语…

    行业动态 2021/11/24
  • SAP License:SAP系统在财务管理中的应用 图1

    SAP License:SAP系统在财务管理中的应用

    众所周知,财务管理工作不只是简单的记录一个企业经营活动的流水情况,它是企业管理的一个组成部分,是根据财经法规制度,按照财务管理的原则,组织企业财务活动,处理财务关系的一项经济管理工作。在一定的整体目标下,对资产的购置(投资),资本的融通(筹资)和经营中现金流量(营运资金),以及利润分配,进行记录、整理、分析、控制的管理行为。一个规模较小的企业,经营业务的梳理较为简单,一般的财务软件就能满足,但是对于规模较大集团性质的企业,业务流程繁杂,一个功能强大的后台系统支持,不仅可以促使公司的产、供、销、人…

    行业动态 2021/10/27
  • SAP License:对虚拟利润中心的几点认识

    SAP License:对虚拟利润中心的几点认识

    虚拟利润中心就是起用利润中心会计后,如果会计分录中某行项目没有利润中心则自动设置为虚拟利润中心,如果不设置虚拟利润中心则必须保证每个行项目都有利润中心,否则获取不到利润中心就会出错误,如果使用替代确定所有分录都能获得利润中心,不设置虚拟利润中心就没有任何关系. 业务范围和利润中心都可用来出在同一公司代码下更细一层的财务报表,实际上两个概念有重叠的概念,所以在ECC6中比较倾向于废除业务范围而取代之为Segment, 既然如此,下面就不再谈业务范围,就说只说利润中心。     以为两张最重要的资产…

    行业动态 2021/05/19
  • 企业实施ERP系统后有哪些好处和优势?

    企业实施ERP系统后有哪些好处和优势?

    企业实施ERP系统后有哪些好处和优势?随着全球经济的迅速发展,更多企业通过实施ERP系统来满足未来发展需求。而ERP系统的确可为企业带来好处与希望,比如业务流程自动化,助力决策更快落地,更好地掌控业务流程等。 ERP系统的作用体现在以下三个层面: 1、办公自动化;2、数据分析;3、业务流程管理; 实施ERP系统对企业的好处和优势? 一、集成 ERP系统最基础的功能就是集成。在以往手工或半手工作业状态下,企业常出现信息不对称,数据难共享,或者相同的数据被不同的部门、不同的人员重复录入多次,却浑然不…

    技术相关 2020/12/21
联系我们

联系我们

130-0752-1773

在线咨询:点击这里给我发消息

邮件:info@sapzx.com

工作时间:周一至周五9:00-18:00,节假日正常休息

关注微信
关注微信
分享本页
返回顶部