3月sap补丁修补3个高危漏洞 其中有个30年的图形服务器漏洞

陈年漏洞格外香。SAP于2018年3月发布了SAP安全补丁,该安全补丁日针对其产品中的高级和中级漏洞,其中包括SAP Internet图形服务器中三十年的老漏洞。2018年3月SAP安全补丁日包括10个安全说明,3个高级和7个中级漏洞。

3月的sap 补丁修复10个漏洞 3个高危7个中等

该公司还发布了17个支持包注释,其中11个在上个月的第二个星期二之后和本月的第二个星期二之前发布。安全公司ERPScan对发布信息进行了分析

“ SAP  发布了 2018年3月重要补丁更新。此补丁更新关闭了27个SAP安全注意事项(10个SAP安全补丁日注释和17个支持包注释)。其中4个补丁是以前发布的安全说明的更新。

https://blogs.sap.com/2018/03/13/sap-security-patch-day-march-2018/

已发布的SAP安全注意事项中有6项获得了高级,两项评估评级为低,19项评级为中等。“

自2018年1月以来,最常见的漏洞类型仍然缺少授权检查。

SAP 3月重要补丁更新修复了30年的老漏洞

最严重的安全注意事项解决了SAP Internet图形服务器(IGS)中三个十年前的漏洞,并获得了具有高优先级评级的CVSS Base Score:8.8。

这些漏洞包括CVE-2004-1308(内存破坏漏洞),CVE-2005-2974(DoS漏洞)和CVE-2005-3350(远程代码执行漏洞),并影响处理图像的第三方开源库(libtiff,giflib和libpng)。

“此更新中最危险的漏洞可以使用以下SAP安全说明进行修补:

2538829:SAP Internet图形服务器(IGS)具有安全漏洞(CVSS基本评分:  8.8  内存损坏 –  CVE-2004-1308,DoS  CVE-2005-2974,RCE  CVE-2005-3350)。根据漏洞,攻击者可以利用拒绝服务漏洞来终止易受攻击组件的进程没有人可以使用这项服务。这一事实对业务流程和商业信誉产生负面影响安装此SAP安全说明以防止风险。“

ERPScan的研究员Mathieu Gel帮助SAP确定SAP BPA BY REDWOOD(CVSS Base Score:7.5  CVE-2018-2400)中的一个重要信息  信息泄漏漏洞。这个漏洞可能被攻击者利用来揭示额外的信息(例如系统数据、调试信息等),这些信息有助于学习系统并计划更严重的攻击。

2018年3月SAP安全补丁日还解决了SAP HANA捕获和重放跟踪文件(CVE-2018-2402 – CVSS Base Score:7.6)中的高风险信息泄露漏洞

SAP漏洞修复速度不算快

2018年1月,SAP爆出内核身份验证绕过漏洞CVE-2018-2360 可执行未授权操作

2017年12月,SAP内核身份验证绕过漏洞CVE-2017-16689 可执行未授权操作

2017年10月,SAP PoS机Retail Xpress Server身份验证绕过漏洞CVE-2017-15293

发表评论