SAP厂商发现系统命令注入高危漏洞,需要尽快升级
10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVEID:CVE-2020-6364CVSS评分:10.0危急
SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。
CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。
受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7
2.CVEID:CVE-2020-6228CVSS评分:9.8高危
SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。
受影响的产品:SAPBusinessClient6.5,7.0版本
3.CVEID:CVE-2020-6296CVSS评分:8.3高危
SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。
SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。
受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755
4.CVEID:CVE-2020-6367CVSS评分:8.2高危
SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。
受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50
5.CVEID:CVE-2020-6366CVSS评分:7.6高
SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。
受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50
解决方案
SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。
相关新闻
-
SAP License:ERP概述
企业资源计划(enterprise resource planning ,ERP) ,它利用计算机技术,把企业的物流、人流、资金流、信息流统一起来进行管理,把客户需要和企业内部的生产经营活动以及供应商的资源整合在一起,为企业决策层提供解决企业产品成本问题、提高作业效率、及资金的运营情况一系列动作问题,使之成为能完全按用户需求进行经营管理的一种全新的行之有效的管理方法。 它是一个以管理会计为核心的信息系统,识别和规划企业资源,从而获取客户订单,完成加工和交付,最后得到客户付款。是综合客户机和服务体…
-
SAP License:税-你知道多少?
税收很复杂,有些同志专门还问这个问题,现在小小的整理一下,希望大家喜欢。 【原文】 公司纳税情况参考: 1、营业税=销售收入*5%(建筑、交通、邮电通讯、文化体育业3%) 2、城建税=营业税税额*7%(城市7%,县城5%,工矿区3%) 3、教育附加=营业税税额*3% 4、个人所得税(工资薪金所得)=(月工资薪金总额—2000)*适用税率—速算扣除数 1)不超过500元的部分,税率5%,速算扣除数为0; 2)超过500元至2000元的部分,税率10%,速算扣除数为25 3)超过2000元至5000…
-
SAP License:SAP打油诗
SAP是庞大的,模块是多多的,功能是强大的,搞懂是没门的。 SD是灵巧的,五脏是俱全的,满足是不能的,报表是经常的。 SAP是庞大的,模块是多多的,功能是强大的,搞懂是没门的。 SD是灵巧的,五脏是俱全的,满足是不能的,报表是经常的。 PP是复杂的,相同是很少的,mrp是要的,精确是不能的。 MM是关键的,数据是多多的,做好是稀有的,目前是紧缺的。 FI是核心的,记账是主要的,工作是轻松的,地位是高高的。 CO是控制的,与fi是配合的,凭证是很多的,成本是不准的。 ABAP是必须的,开发是经常的…
-
SAP License:SAP与ERP是什么关系
根据我们以往的文章介绍,我们可以看出Sap与ERP存在项目上的交织。那么,SAP与ERP是什么关系?我们看看赛锐信息顾问的介绍: 行业对SAP的解释: SAP是一款ERP软件,另外提供企业的解决方案,包括财务以及企业各种资源。对于行业考究,其实也并没有太多区分,软件的通用性以及智能型,对于各个行业都非常试用。从这条概念当中,我们发现一个亮点,SAP软件能够提供智能化解决方案,也就是企业发展策略制定。这是以往ERP软件所没有实现的功能,如今SAP占据世界ERP软件首位,当之无愧。 行业对ERP的解…
-
SAP License:ERP系统怎么用效益最大化?
ERP系统是什么?ERP系统是企业资源计划的简称,ERP系统是建立在财务、人力、信息流等诸多方面的资源,为企业提高效益。ERP系统怎么用能保证企业利益最大化呢?我们从以下几方面所起: 1、制定专人负责,最好有公司领导带队。 ERP系统怎么用?首先需要专人使用。指定ERP项目小组,专人负责,这样保障了企业对ERP系统全面掌控,也给员工一个信号:公司对ERP系统非常重视,因而各部门需相互配合。 2、ERP系统怎么用?培训要到位。 对于长期习惯传统管理的员工来说,ERP系统的应用必然让员工不适应改变工…
-
SAP License:药店ERP系统如何实施
药店ERP系统如何实施?药店依托先进的管理模式才能得到发展,而ERP作为信息化管理的“中枢神经”,对于药店的信息化管理、敏捷运营、数据交换等都具有重要的意义。本文针对ERP系统对于药店管理的作用,既是对于药店管理模式的一次探讨,也是ERP系统药店管理的解决方案。 药店每天都有大量的药材要出库入库,要实现数据的安全管理并非易事。如果是连锁的大型药店还要与总部的数据实现实时同步与快速调用。因此能否保证数据传输的安全稳定,以及保证管理的速度是ERP系统能否真正为药店管理发挥作用的关键之处。 药店ERP…
