SAP厂商发现系统命令注入高危漏洞,需要尽快升级
10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVEID:CVE-2020-6364CVSS评分:10.0危急
SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。
CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。
受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7
2.CVEID:CVE-2020-6228CVSS评分:9.8高危
SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。
受影响的产品:SAPBusinessClient6.5,7.0版本
3.CVEID:CVE-2020-6296CVSS评分:8.3高危
SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。
SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。
受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755
4.CVEID:CVE-2020-6367CVSS评分:8.2高危
SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。
受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50
5.CVEID:CVE-2020-6366CVSS评分:7.6高
SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。
受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50
解决方案
SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。
相关新闻
-
自我升级拥抱5G:联合创新SAP项目正式启动
2020年,联合创新迎来了5G时代来临的新机遇。为了应对终端显示市场的需求的变革,联合创新将2020年设立为信息化管理元年,并推动五大管理系统的落地,它们分别是: 2020年5月7日,联合创新SAP项目正式启动,公司总经理沈总与项目组全体成员共同参加了本次启动会。 本期项目,主要以SAPERP 为核心,覆盖生产管理、采购管理、库存管理、销售管理、财务管理的稳定后台,加速业务财务一体化进程。具体包括: 构建一套基于信息化的、适用于联合创新,并涵盖销售、生产、售后、采购、库存、财务等方面的标准化管理…
-
SAP License:ERP软件选择应该注意什么?
ERP软件选择应该注意什么?企业在准备要实施一个ERP系统软件之前,往往遇到一些困惑,什么样的ERP系统系统才是真正适合本企业的发展。企业在考察供应商的时候无非从是否做过相同类似行业的,是否有成功的案列,公司技术的实力如何等等因素。但是混淆了ERP系统理论和ERP系统软件,ERP系统理论可以说起来头头是道,左右逢源,但这并不意味着ERP系统软件合用好用,选型的时候别开ERP系统软件而花过多的时间讨论ERP系统理论(流程之类),实在是本末倒置之举。无论怎么选,最终是落到ERP系统软件的使用上,不要…
-
SAP License:“免费”ERP真不免费
很多企业想实施ERP系统,但面对动辄几百万几千万的ERP项目望而却步,忧心忡忡,生怕砸了大价钱实施又得不到应有的效果,稍有不慎就会影响企业内部业务的正常开展。于是开始把目光投向市面上那些免费的ERP,希望实施免费的ERP来降低上系统的成本。 但,免费的ERP真的“免费”吗? 当企业找了免费ERP的供应商过来谈的时候,就会发现所谓免费只是基础功能的免费,限制性使用。软件厂商打着免费的幌子牌子吸引目光,实际上企业真的要用得爽、用得顺畅、用得自由是有很多地方要付出成本的。 深入了解就会发现,”免费“的…
-
SAP:数字化成为推动中国经济复苏重要引擎
人民网北京7月9日电(吕骞)今天,以“智能世界 共同家园”为主题的2020世界人工智能大会(WAIC)云端峰会在上海盛大开幕。SAP全球CEO柯睿安(Christian Klein) 以视频形式,在线出席了大会开幕式,并与亲临现场的SAP中国总经理李强,联袂发表了“工业与智能融合”的主题演讲。 SAP全球CEO柯睿安表示,智慧企业具有三大突出优势:韧性、盈利能力、可持续发展。在全球面临危机的当下,向智慧企业的转型,势在必行。他认为,智慧企业能够利用最新技术,实时将洞察力转化为行动,实现新的业务模…
-
SAP License:SAP顾问如何写运维报告
一、项目回顾: 2019年6月**实施了在建项目期的SAP应用系统,历时4个月的项目实施,于2019年十月正式上线。迄今为止系统已经正常运行了2年多。作为**未来战略发展的重要一步,**信息化建设在探索的过程中迈开了第一步,也取得了初步的效果。但是任何项目都会有问题和缺陷,关键是能否及时提出问题、总结问题、解决问题并从问题中吸取教训。 二、问题汇总: 通过对系统的全面检查以及现场的调研现在主要存在库存积压与帐帐不符两方面的问题。形成这些问题的原因是诸多的,现分述如下。 三、问题成因 1、项目实施…
-
SAP License:浅谈财务信息系统建设
1.1财务的内容及未来展望 作为集团化的公司随着公司的发展及战略的升级将驱动财务人员转变为公司内部客户的全面业务合作伙伴,大力提升为整个公司提供具有行动指导性、可见度、洞察力以及可预见性信息的专业能力!我个人认为财务的内容将分成如下层次: 总部—控制 资金管理 财务共享服务 计划预算管理 投资和资产管理 内部控制 风险管理/内审 实体企业—服务 财务分析 业务支持 同时,结合公司当前的战略,财务要提供有力的支撑,尤其在决策支持分析方面,因而对财务管理提出了新的目标和要求。…
