freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

德国SAP 10月更新修复多款产品中的多个安全漏洞
2020-10-16 16:04:47

德国SAP于10月14日发布月度安全更新,修复15个最新披露的安全漏洞,其中包含一个超危OS命令注入漏洞。

该超危漏洞编号为CVE-2020-6364,CVSS评分为10。该漏洞影响CA Introscope Enterprise Manager 10.7.0.304及之前版本,受影响的产品包括Solution Manager和Focused Run。

攻击者可利用该漏洞以一种可以执行OS命令的方式修改某个cookie,获得对运行CA Introscope Enterprise Manager的主机的完全控制,从而注入代码。成功利用该漏洞,攻击者可以读取和修改所有的系统文件,同时影响系统可用性。该漏洞可被远程利用,且利用漏洞无需身份验证。

SAP已经为Enterprise Manager 10.5.2.113发布了补丁,要应用该补丁,所有之前的版本都需要更新版本。但是,该更新类似于升级至10.7版本,且厂商将在2020年12月结束对10.5版本的支持,直接升级至10.7版本会是最好的选择。

本月SAP还修复了CA Introscope Enterprise Manager中的一个高危漏洞CVE-2020-6369。远程攻击者可利用该应用程序中的硬编码凭据绕过身份验证。

应用Enterprise Manager 10.5和10.7的补丁后,用户需要在安装程序中为管理员和访客账户重新设置凭据。该补丁还要求手动恢复Solution Manager或Focused Run和Introscope之间的连接。

本月SAP披露的最新产品漏洞如下表。

序号

CVE

影响产品

严重等级

CVSS评分

1

CVE-2020-6364

CA Introscope Enterprise Manager (Affected Products: SAP Solution Manager and SAP Focused Run)

超危

10

2

CVE-2020-6367

SAP NetWeaver Composite Application Framework

高危

8.2

3

CVE-2020-6366

SAP NetWeaver(Compare Systems)

高危

7.6

4

CVE-2020-6369

CA Introscope Enterprise Manager (Affected Products: SAP Solution Manager and SAP Focused Run)

高危

7.5

5

CVE-2020-6319

SAP NetWeaver AS Java

中危

6.1

6

CVE-2020-6315

SAP 3D Visual Enterprise Viewer

中危

5.7

7

CVE-2020-6272

SAP Commerce Cloud

中危

5.4

8

CVE-2020-6368

SAP Business Planning and Consolidation

中危

5.4

9

CVE-2020-6308

SAP BusinessObjects Business Intelligence Platform (Web Services)

中危

5.3

10

CVE-2020-6370

SAP NetWeaver (DI Design Time Repository)

中危

4.8

11

CVE-2020-6365

SAP NetWeaver AS Java (Start Page)

中危

4.7

12

CVE-2020-6323

SAP NetWeaver Enterprise Portal (Fiori Framework Page)

中危

4.4

13

CVE-2020-6371

SAP NetWeaver Application Server ABAP (POWL test application)

中危

4.3

14

CVE-2020-6362

SAP Banking Services

中危

4.3

15

CVE-2020-6363

SAP Commerce Cloud

低危

3.7

# 资讯
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者