SAP厂商发现系统命令注入高危漏洞,需要尽快升级
10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVEID:CVE-2020-6364CVSS评分:10.0危急
SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。
CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。
受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7
2.CVEID:CVE-2020-6228CVSS评分:9.8高危
SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。
受影响的产品:SAPBusinessClient6.5,7.0版本
3.CVEID:CVE-2020-6296CVSS评分:8.3高危
SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。
SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。
受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755
4.CVEID:CVE-2020-6367CVSS评分:8.2高危
SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。
受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50
5.CVEID:CVE-2020-6366CVSS评分:7.6高
SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。
受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50
解决方案
SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。
相关新闻
-
云ERP真的已经玩不转了吗?
注:以下云ERP特指SaasERP,非指ERP系统部署在云端。 不得不说,如今市场对传统ERP的接受度要远比云ERP高得多,95%的中大型企业在选ERP的时候无一例外都考虑传统ERP。按道理来说云是新生的技术,ERP搭配云理论上像是很多“大佬”说的趋势,但为何这个趋势没有燃烧起来,反而被现实市场的数据打脸了呢? 难道云ERP真的玩不转了吗? 只要你注意观察就会发现,网上关于云ERP的文章,无一例外都是在吹云ERP的各种优势:什么不用考虑硬件部署拉、什么系统实施时间长拉、什么实施成本高拉、什么软件…
-
SAP License:ERP在企业中的真正的价值在哪里?
ERP的真正价值在于它解决了企业内不同角色之间的信息不对称。决策者需要掌控企业经营管理的重要信息,职能部门间需要掌握上下游的信息,通过信息的掌握不同角色就能够把握机会,作出决策,从而提高业务链的整体运作效率,降低运作成本。 例如,对于企业经营决策者来说,ERP的价值在于掌握各个部门的经营和管理信息,通过ERP系统可以对每个订单进行独立核算成本,物料成本、人工成本、物业成本、水电成本等清晰明了,为企业管理分析提供有价值的数据参考。 对于企业中层管理者来说,ERP的价值在于掌握部门内业务运作信息,预…
-
如何将400万的项目做成20万的效果?
从业多年,接触过一款系统,纯粹是公司录入订单的功能,两三个跟ERP做的接口,零星几个报表,没有源码,功能非常简单。从上一任负责人手中接过几张蓝图手册以及电子合同,赫然发现这个看起来非常单纯的系统居然要价400万,而且大部分已经付出去了。 看着这个第一坑的系统,我很好奇他们是如何将400万的项目做成20万的效果。 为何被称为第一坑? 因为甲方没有掌握源码,也没有负责的技术人员,所有需求的收集大部分靠常驻甲方的一个技术员,然后将需求提交给远程的开发人员。不知是技术原因还是怎么样,一个很简单的需求从沟…
-
SAP任命新一代领导团队,制定未来发展方向
2019年 10 月 11日,北京讯 —SAP今天宣布,孟鼎铭(Bill McDermott)决定不再续任,将从首席执行官职位卸任。公司启动了长期继任者计划, SAP执行董事会成员Jennifer Morgan和柯睿安(Christian Klein)被任命为联席CEO,经由SAP 监事会批准,立即生效。 孟鼎铭将继续担任顾问职位,直到年底,以确保顺利交接。 SAP 监事会主席哈索教授表示:“没有Bill,就没有SAP的今天。他为公司做出了杰出的贡献,带领SAP成功地向云转型,为公司发展奠定了坚…
-
SAP领跑一带一路
9月21日,SAP全球执行副总裁、大中华区总裁纪秉盟先生出席了由SAP与国家发展和改革委国际合作司主办的中德“一带一路”与数字化技术合作研讨会并做开场致辞。会前,纪秉盟与发改委副主任王晓涛会面,双方就SAP在全球和中国市场的发展情况,以及中德企业共建“一带一路”合作等议题进行了交流。王晓涛是发改委“一带一路”建设主要负责人之一,并主管经济贸易司、国际合作司。发改委高技术司副司长伍浩等政府领导出席会议。 ▲纪秉盟先生与王晓涛副主任一对一会谈 ▲纪秉盟先生做开场致辞 纪秉盟先生在致辞中一再强调,积极…
-
SAP License:ERP系统实施成功要素分析
对于现在企业ERP的使用,很多人会说 “ERP成功与否,三分技术七分实施”,这个道理也在行内得到了普遍的赞同,一个相同的软件会在不同的行业内得到引用,这就得到实施工作者的对企业工作流程和模块大掌握,从而实施到软件的具体划分和流程上来,对与企业来说ERP系统的实施在后期是不可或缺的,因为企业的模块和工作流程不可能都是固定的,需要实施人员的不断的维护调节。 1、ERP系统成功的关键在于实施 ERP是制造业计算机辅助管理信息系统,目前在国外得到了广泛的应用。80年代以来,特别是进入90年代,随着我国经…
