Sap 发布本月安全补丁,解决十年漏洞问题
外媒 3 月 14 日消息,Sap本周发布了其 3 月份的一组安全补丁,以解决产品中不同层级的漏洞问题,其中包括一些已经存在了十多年的安全缺陷。
SAP,为“System Applications and Products”的简称,是SAP公司的产品——企业管理解决方案的软件名称。SAP公司成立于1972年。总部位于德国沃尔多夫市。作为全球领先的企业管理软件解决方案提供商,SAP帮助各行业不同规模的企业实现卓越运营。
SAP是其ERP(Enterprise-wide Resource Planning)软件名称,它是ERP解决方案的先驱,也是全世界排名第一的ERP软件,可以为各种行业、不同规模的企业提供全面的解决方案。
SAP 发布的 27 个安全说明中,有 6 个具有高优先级,19 个被评为中等优先级,并且其中有 4 个是以前发布过的安全说明的更新。
本月处理的最常见的漏洞类型是缺少授权检查(占 6 个),其次是信息披露(5 个),跨站点脚本(4 个)。除此之外,SAP 还解决了 3 个 SQL 注入错误、2 个目录遍历问题、2 个实施漏洞以及拒绝服务、硬编码证书、XML 外部实体、代码注入和点击劫持错误等缺陷。
SAP 本月最厉害的安全说明解决了 SAP 网络图形服务器(IGS)中具有高优先级评级的三个漏洞(CVSS 基础评分:8.8),其中包括:CVE-2004-1308(内存损坏)、CVE-2005-2974(拒绝服务)和 CVE-2005-3350(远程代码执行)。这些漏洞已经存在十多年,影响 libtiff、giflib 、libpng 等处理图像(分别为 TIFF、GIF 和 PNG )的第三方开源库。
不仅如此,SAP 还处理了两个高风险的信息披露漏洞,分别是影响 SAP HANA 捕获和重放跟踪文件(CVE-2018-2402 – CVSS 基本评分:7.6)、SAP 业务流程自动化( BPA ) (CVE – 20182400 – CVSS 基础评分:7.5 )的漏洞问题。
来源:hackernews
往期热门内容推荐
更多安全资讯,戳左下角“阅读原文”查看!