SAP修复TREX中的严重代码注入缺陷

本周SAP发布了多个补丁，其中最重要的安全补丁解决的是TREX/BWA中的高危漏洞，该漏洞能让攻击者在受影响系统上执行命令。

这个漏洞的CVSS评分为9.4，是由ERPScan公司于2015年发现的。该公司指出，TREXNet即为TREX服务开发的内部通信协议并不会执行任何验证，但是TREX服务器所要求的，也就是说它会将系统暴露给攻击者，从而导致远程关键系统和操作系统命令执行。

ERPScan公司专门保护SAP和甲骨文产品的安全，它指出由于TREX部署在十几个SAP产品中包括SAP HANA，这个漏洞被认为是传播范围最广且最严重的SAP服务器端问题。另外这个带有详情的安全公告已经在网络上存在2年之久，因此多款应用程序暴露到攻击之中。

除了TREX/BWA中的远程代码执行漏洞外，SAP还解决了由ERPScan研究人员发现的更多漏洞包括SAP NetWeaver 中心技术配置中的跨站点脚本漏洞（CVSS评分6.3）、SAP NetWeaver Java 归档框架中的一个跨站点脚本漏洞（CVSS评分6.1）和SAP知识管理ICE服务中的XML外部实体漏洞（CVSS评分4.9）等。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。