外媒 3 月 14 日訊息,Sap本週釋出了其 3 月份的一組安全補丁,以解決產品中不同層級的漏洞問題,其中包括一些已經存在了十多年的安全缺陷。
SAP 釋出的 27 個安全說明中,有 6 個具有高優先順序,19 個被評為中等優先順序,並且其中有 4 個是以前釋出過的安全說明的更新。
本月處理的最常見的漏洞型別是缺少授權檢查(佔 6 個),其次是資訊披露(5 個),跨站點指令碼(4 個)。除此之外,SAP 還解決了 3 個 SQL 注入錯誤、2 個目錄遍歷問題、2 個實施漏洞以及拒絕服務、硬編碼證書、XML 外部實體、程式碼注入和點選劫持錯誤等缺陷。
SAP 本月最厲害的安全說明解決了 SAP 網路圖形伺服器(IGS)中具有高優先順序評級的三個漏洞(CVSS 基礎評分:8.8),其中包括:CVE-2004-1308(記憶體損壞)、CVE-2005-2974(拒絕服務)和 CVE-2005-3350(遠端程式碼執行)。這些漏洞已經存在十多年,影響 libtiff、giflib 、libpng 等處理影像(分別為 TIFF、GIF 和 PNG )的第三方開源庫。
不僅如此,SAP 還處理了兩個高風險的資訊披露漏洞,分別是影響 SAP HANA 捕獲和重放跟蹤檔案(CVE-2018-2402 – CVSS 基本評分:7.6)、SAP 業務流程自動化( BPA ) (CVE – 20182400 – CVSS 基礎評分:7.5 )的漏洞問題。
來源:hackernews