SAP发布了其4月份安全更新

SAP已经发布了其4月份的安全更新,该更新带来了10个值得考虑的问题。

最差的是,CVSS评分为9.8,影响SAP的商业客户端,这是用于访问其大部分产品的桌面工具。

问题的详细信息位于注册墙后面,但根据ERP扫描,该漏洞是一种内存损坏错误,允许攻击者将精心制作的代码注入工作内存。结果可以是对应用程序,拒绝服务或远程代码执行的“完全控制”。

该公司还修补了SAP Business One以修复Apache漏洞CVE-2017-7668。在此漏洞中,Apache httpd 2.2.32和2.4.24的缓冲区溢出可用于拒绝服务攻击。

在4月份修复中还有三个其他高级漏洞:两个针对Visual Composer 04s iviews(VCFRAMEWORK版本7.00,7.01和7.02和VC70RUNTIME 7.30,7.31,7.40,7.50),其中一个是代码注入漏洞; 和SAP Business Objects中的CVE-2018-2408,这是一个会话管理错误,没有正确实施密码更改。

正如Mitre咨询所述:“如果用户更改了密码,则使用[旧]密码创建的所有其他活动会话都会继续保持活动状态。”

4月份的补丁集还包括7个只被评为中等的补丁,包括可追溯到2009年的Blaze DB漏洞。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/04/11/sap_april_2018_security_update
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券