SAP厂商发现系统命令注入高危漏洞,需要尽快升级
10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVEID:CVE-2020-6364CVSS评分:10.0危急
SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。
CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。
受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7
2.CVEID:CVE-2020-6228CVSS评分:9.8高危
SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。
受影响的产品:SAPBusinessClient6.5,7.0版本
3.CVEID:CVE-2020-6296CVSS评分:8.3高危
SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。
SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。
受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755
4.CVEID:CVE-2020-6367CVSS评分:8.2高危
SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。
受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50
5.CVEID:CVE-2020-6366CVSS评分:7.6高
SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。
受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50
解决方案
SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。
相关新闻
-
SAP License:B2B电商平台如何吸引客户
企业加码B2B电商平台之后,拉近了和客户之间的距离,但是除了维护固有的老客户之外,如何增加新的客户,实现经济效益增长,也是不少企业老板头痛的问题。那么,说到这里,我们就不得不谈到B2B电商系统的另一个功能——完整的商品展示门户功能。 赛锐云商推出的B2B电子商务订货平台“赛锐云”,就是这样一款功能强大,具备完整的商品展示电商商城、灵活的价格策略、全程订单跟踪,以及便捷的资金结算等特点的Saas模式的企业级B2B电商平台。 之所以说它功能强大,是因为它为不仅仅是为企业提供了一个B2B电子商务订货平…
-
麦当劳阿联酋借助SAP Analytics Cloud实现现代化
在最新的BARC的BI调查18中,这是关于BI(商业智能)工具选择和使用的全球最大规模的调查,由于SAP的高创新能力,有52%的SAP Analytics Cloud用户选择了该解决方案。87%的人将其价格性能比评为好或优秀,而96%的人会推荐SAP Analytics Cloud。 阿联酋快餐公司(Emirates Fast Food Co.)拥有并运营的阿联酋麦当劳(McDonald’s UAE)已与SAP合作,以快速跟踪其数字化转型。该公司打算通过移动和可扩展的云解决方案来现代化其运营,包…
-
SAP License:SAP顾问面试问题
以下是我个人目前遇到的一些FI/CO问题的小结,希望对大家有所帮助,也可能有回答错误的地方,希望高手不吝赐教。也希望各位顾问们讲你们遇到的一些面试问题做个跟贴,方便大家共同进步,谢谢。 Q:假设你作为SAP的顾问,请介绍SAP系统中统驭科目的用处。 A:统驭科目(reconciliation account)指的就是将明细科目归集起来的意思。 系统总帐科目表中包括统驭科目,该统驭科目是与应收模块、应付模块、固定资产模块有关的,其中长、短期借款运用了应付模块的功能,也成为了统驭科目。 假设用户在C…
-
云ERP真的已经玩不转了吗?
注:以下云ERP特指SaasERP,非指ERP系统部署在云端。 不得不说,如今市场对传统ERP的接受度要远比云ERP高得多,95%的中大型企业在选ERP的时候无一例外都考虑传统ERP。按道理来说云是新生的技术,ERP搭配云理论上像是很多“大佬”说的趋势,但为何这个趋势没有燃烧起来,反而被现实市场的数据打脸了呢? 难道云ERP真的玩不转了吗? 只要你注意观察就会发现,网上关于云ERP的文章,无一例外都是在吹云ERP的各种优势:什么不用考虑硬件部署拉、什么系统实施时间长拉、什么实施成本高拉、什么软件…
-
SAP携手喜茶,助推茶饮人才管理跨越式发展
2019年11月27日,深圳讯——今天,SAP与知名茶饮品牌喜茶(深圳美西西餐饮管理有限公司)举行了签约仪式,双方就企业人才数字化管理达成深度合作。SAP将为喜茶提供SAP SuccessFactors(HR云)来落实人力资本管理战略,有效提升企业运营效率,助力企业运营持续成长。 新零售时代,在消费升级和消费场景扩大影响下,餐饮行业加速向精细化、体验化、多元化及生态化方向迈进。数字技术在促进餐饮业态升级和消费者体验革新的过程中起到关键作用。SAP与喜茶展开战略合作,将协助企业建立数字化运维模式,…
-
SAP License:上ERP系统有哪些费用支出?
很多人可能认为上一套ERP系统的费用都在系统费用和实施费用上面,其实这两块是大头,但其实还有不少的费用支出条目,以下就简要列出并解释说明,给想要上系统或更新系统的企业一点参考。 一、管理咨询费用 上系统之前,不少企业会外聘专业的管理咨询公司过来梳理和指导企业业务流程优化,为ERP项目的实施铺平道路。这个步骤并不是必须的,但它的作用却是很大,当然, 费用也不低。 也有一些企业为了省点项目成本,忽略了这个环节。个人觉得有需要的企业还是应该做前期项目管理咨询,如那些库存居高不下,流程复杂过长,返工逆向…
