外媒 3 月 14 日消息,SAP 本周发布了其 3 月份的一组安全补丁,以解决产品中不同层级的漏洞问题,其中包括一些已经存在了十多年的安全缺陷。

SAP 发布的 27 个安全说明中,有 6 个具有高优先级,19 个被评为中等优先级,并且其中有 4 个是以前发布过的安全说明的更新。

本月处理的最常见的漏洞类型是缺少授权检查(占 6 个),其次是信息披露(5 个),跨站点脚本(4 个)。除此之外,SAP 还解决了 3 个 SQL 注入错误、2 个目录遍历问题、2 个实施漏洞以及拒绝服务、硬编码证书、XML 外部实体、代码注入和点击劫持错误等缺陷。

SAP 本月最厉害的安全说明解决了 SAP 网络图形服务器(IGS)中具有高优先级评级的三个漏洞(CVSS 基础评分:8.8),其中包括:CVE-2004-1308(内存损坏)、CVE-2005-2974(拒绝服务)和 CVE-2005-3350(远程代码执行)。这些漏洞已经存在十多年,影响 libtiff、giflib 、libpng 等处理图像(分别为 TIFF、GIF 和 PNG )的第三方开源库。

不仅如此,SAP 还处理了两个高风险的信息披露漏洞,分别是影响 SAP HANA 捕获和重放跟踪文件(CVE-2018-2402 – CVSS 基本评分:7.6)、SAP 业务流程自动化( BPA ) (CVE – 20182400 – CVSS 基础评分:7.5 )的漏洞问题。

消息来源:securityweek,编译:榆榆,校审:FOX

声明:本文来自HackerNews,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。