Sap 釋出本月安全補丁，解決十年漏洞問題

外媒 3 月 14 日訊息，Sap本週釋出了其 3 月份的一組安全補丁，以解決產品中不同層級的漏洞問題，其中包括一些已經存在了十多年的安全缺陷。

SAP 釋出的 27 個安全說明中，有 6 個具有高優先順序，19 個被評為中等優先順序，並且其中有 4 個是以前釋出過的安全說明的更新。

本月處理的最常見的漏洞型別是缺少授權檢查（佔 6 個），其次是資訊披露（5 個），跨站點指令碼（4 個）。除此之外，SAP 還解決了 3 個 SQL 注入錯誤、2 個目錄遍歷問題、2 個實施漏洞以及拒絕服務、硬編碼證書、XML 外部實體、程式碼注入和點選劫持錯誤等缺陷。

SAP 本月最厲害的安全說明解決了 SAP 網路圖形伺服器（IGS）中具有高優先順序評級的三個漏洞（CVSS 基礎評分：8.8），其中包括：CVE-2004-1308（記憶體損壞）、CVE-2005-2974（拒絕服務）和 CVE-2005-3350（遠端程式碼執行）。這些漏洞已經存在十多年，影響 libtiff、giflib 、libpng 等處理影像（分別為 TIFF、GIF 和 PNG ）的第三方開源庫。

不僅如此，SAP 還處理了兩個高風險的資訊披露漏洞，分別是影響 SAP HANA 捕獲和重放跟蹤檔案（CVE-2018-2402 – CVSS 基本評分：7.6）、SAP 業務流程自動化( BPA ) (CVE – 20182400 – CVSS 基礎評分：7.5 )的漏洞問題。

來源：hackernews