官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
德国SAP于10月14日发布月度安全更新,修复15个最新披露的安全漏洞,其中包含一个超危OS命令注入漏洞。
该超危漏洞编号为CVE-2020-6364,CVSS评分为10。该漏洞影响CA Introscope Enterprise Manager 10.7.0.304及之前版本,受影响的产品包括Solution Manager和Focused Run。
攻击者可利用该漏洞以一种可以执行OS命令的方式修改某个cookie,获得对运行CA Introscope Enterprise Manager的主机的完全控制,从而注入代码。成功利用该漏洞,攻击者可以读取和修改所有的系统文件,同时影响系统可用性。该漏洞可被远程利用,且利用漏洞无需身份验证。
SAP已经为Enterprise Manager 10.5.2.113发布了补丁,要应用该补丁,所有之前的版本都需要更新版本。但是,该更新类似于升级至10.7版本,且厂商将在2020年12月结束对10.5版本的支持,直接升级至10.7版本会是最好的选择。
本月SAP还修复了CA Introscope Enterprise Manager中的一个高危漏洞CVE-2020-6369。远程攻击者可利用该应用程序中的硬编码凭据绕过身份验证。
应用Enterprise Manager 10.5和10.7的补丁后,用户需要在安装程序中为管理员和访客账户重新设置凭据。该补丁还要求手动恢复Solution Manager或Focused Run和Introscope之间的连接。
本月SAP披露的最新产品漏洞如下表。
序号 | CVE | 影响产品 | 严重等级 | CVSS评分 |
1 | CVE-2020-6364 | CA Introscope Enterprise Manager (Affected Products: SAP Solution Manager and SAP Focused Run) | 超危 | 10 |
2 | CVE-2020-6367 | SAP NetWeaver Composite Application Framework | 高危 | 8.2 |
3 | CVE-2020-6366 | SAP NetWeaver(Compare Systems) | 高危 | 7.6 |
4 | CVE-2020-6369 | CA Introscope Enterprise Manager (Affected Products: SAP Solution Manager and SAP Focused Run) | 高危 | 7.5 |
5 | CVE-2020-6319 | SAP NetWeaver AS Java | 中危 | 6.1 |
6 | CVE-2020-6315 | SAP 3D Visual Enterprise Viewer | 中危 | 5.7 |
7 | CVE-2020-6272 | SAP Commerce Cloud | 中危 | 5.4 |
8 | CVE-2020-6368 | SAP Business Planning and Consolidation | 中危 | 5.4 |
9 | CVE-2020-6308 | SAP BusinessObjects Business Intelligence Platform (Web Services) | 中危 | 5.3 |
10 | CVE-2020-6370 | SAP NetWeaver (DI Design Time Repository) | 中危 | 4.8 |
11 | CVE-2020-6365 | SAP NetWeaver AS Java (Start Page) | 中危 | 4.7 |
12 | CVE-2020-6323 | SAP NetWeaver Enterprise Portal (Fiori Framework Page) | 中危 | 4.4 |
13 | CVE-2020-6371 | SAP NetWeaver Application Server ABAP (POWL test application) | 中危 | 4.3 |
14 | CVE-2020-6362 | SAP Banking Services | 中危 | 4.3 |
15 | CVE-2020-6363 | SAP Commerce Cloud | 低危 | 3.7 |
- 0 文章数
- 0 关注者