SAP厂商发现系统命令注入高危漏洞,需要尽快升级
10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVEID:CVE-2020-6364CVSS评分:10.0危急
SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。
CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。
受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7
2.CVEID:CVE-2020-6228CVSS评分:9.8高危
SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。
受影响的产品:SAPBusinessClient6.5,7.0版本
3.CVEID:CVE-2020-6296CVSS评分:8.3高危
SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。
SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。
受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755
4.CVEID:CVE-2020-6367CVSS评分:8.2高危
SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。
受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50
5.CVEID:CVE-2020-6366CVSS评分:7.6高
SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。
受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50
解决方案
SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。
相关新闻
-
B2B电商平台之电商系统
B2B电商平台之电商系统 赛锐云B2B电商平台(The Business of Sales)是一款面向拥有批发业务的中小型企业的完整的B2B电商系统,是国内第一家支持账期结算的批发订货系统。 B2B商城快速下单功能,高效、避免错单漏单下单后,客户可实时了解订单状态客户满意度高,降低沟通成本; 一个客户,一套账期管理方案一个客户,一套信控管理方案,灵活管理付款条款政策; B2B商城后台自动生成对账单,客户款项明细一目了然。轻松对账,避免错账漏账及时催款,资金快速回笼。 SAP相关产品: SAP G…
-
O2O平台之电商框架
电商框架——全渠道O2O平台 互联网时代已经深入人们的生活中,越来越多人接触到网络,人们享受着信息化时代带来的的便捷生活。很多企业也开始加入到了信息化管理中,O2O平台电商系统已经融入了人们的生活当中,一个美观方便快捷的电商系统可以吸引到更多的客户,而对于企业来说一个便捷方便的电商系统的搭建也是极其重要的。 赛锐云商O2O全渠道平台管理系统电商搭建方便快捷,例如: ——菜单的创建 ——轮播片创建 ——文章活动公告的创建 赛锐云商O2O平台全渠道管理系统,使用方便,创建简洁,管理便捷,可以更好的给…
-
疫时行业浅谈 | 交通业直面重压挑战,迎接行业新拐点
2019年12月开始,新型冠状病毒在中国突然爆发。身处其中的中国交通行业企业积极配合政府和各级卫生组织,主动限制客运往来,控制人员流动,对疫情防控起到了重要的作用。但与此同时,中国交通企业在短期内也遭受了重大损失。在此环境下,对于中国的交通企业来说,不管是被动还是主动,都需要对自身的管理模式和业务规划做出必要的改变和调整。不仅仅是要应对突如其来的疫情,也需要在新业务环境中,重新校正企业发展方向,以面对疫情过后新商业环境的挑战。从另外一个角度看,这次冠状病毒疫情的爆发,也间接推动了交通行业的发展。…
-
SAP License:SAP软件的作用
提到SAP软件,懂行的都会竖起大拇指。五百强的各大企业,都统一使用了一种管理软件,那就是SAP软件,这是世界最顶级、长年排名第一的企业管理解决方案,它拥有超强的逻辑处理系统,能够有效地为大型企业的资源管理做出十分精细的方案。那么,SAP软件的作用是什么?我们看看河南赛瑞信息SAP顾问的介绍: 第一,SAP软件拥有强大的智能处理功能,我们可以在这个软件当中打造许多的人性化设置,每一个企业都可以根据自己的具体情况来针对SAP软件进行调整,这样也可以说是使用它为每家企业都量身打造一个管理解决方案,智能…
-
物料需求计划-MRP的理解
只要是”制造业”,就必然要从供应方买来原材料,经过加工或装配,制造出产品,销售给需求方,任何制造业的经营生产活动都是围绕其产品开展的。MRP就是从产品的结构或物料清单出发,实现了物料信息的集成–一个上小下宽的锥状产品结构:其顶层是出厂产品,是属于企业市场销售部门的业务;底层是采购的原材料或配套件,是企业物资供应部门的业务;介乎其间的是制造件,是生产部门的业务。 物料需求计划是一种以计算机为基础的生产计划与控制系统,它根据总生产进度计划中规定的最终产品的交货日期…
-
SAP License:SAP应用集成,让其价值最大化
SAP应用集成,让其价值最大化 越来越多的企业通过内部寻求自身增长的驱动力,他们 “明确方向、构建能力、快速行动”推动业务转型和变革,在新经济环境中实现跨越式发展。未来的技术革命将会呈现加速和融合的趋势,将继续驱动着企业乃至社会的变革,尤其是信息技术的发展将从本质上改变企业的业务模式。 中国众多企业已经建立了以SAPERP为核心的企业信息系统架构,为日常运营提供了有效支撑,但随着新经济环境下的业务转型,企业需要通过创新的技术和解决方案加强集中管控能力,提高灵活应变能力,强化风险防范能力,从而实现…
