安全补丁地址SAP电子商务平台上的缺陷

sap-e-commers.png

SAP于2月2021日的新发布的安全说明安全补丁日包括一个热门新闻项目,可以在SAP Commerce中解决严重漏洞问题。已颁发补丁以解决可能导致SAP电子商务平台完全妥协的关键错误。

SAP产品安全响应团队提供 补丁日保安笔记 确保客户受到保护免受潜在的网络安全攻击。于2021年2月9日,13条安全票据包括3个校正,被归类为热门新闻,已发布。 SAP Security Note#3014121跟踪为CVE-2021-21477,是一个远程代码执行(RCE),如果已被剥削,可能会破坏整个SAP电子商务平台。 

SAP商业提供组织数据的系统方法 -  如产品信息 -  分布在多个通信渠道上。临界缺陷,标记为9.9的CVSS分数,并分为严重程度至关重要,可能会损害电子商务业务使用的应用程序。

在A. 分析 SAP ERP应用安全解决方案提供商的Onapsis发布,托马斯Fritsch保持了:

“为SAP Commerce发布了唯一新的关键补丁。这使得受影响的客户花费时间通过所描述的手动缓解步骤来实现其现有的安装。关于分配的CVSS得分为9.9并面临对应用程序的潜在影响,强烈建议尽快减轻脆弱性。“

SAP电子商务平台上的远程代码执行

详细了解临界缺陷的更多信息 咨询 stated that:

“SAP Commerce云,版本–1808,1811,1905,2005,2011使某些用户具有所需的权限来编辑Drools规则,具有此权限的经过身份验证的攻击者将能够在Drools规则中注入恶意代码,该规则在执行时导致远程代码执行漏洞启用攻击者为了危及潜在的主人,使他能够损害申请的机密性,完整性和可用性。“

onpsis.的报告表明,该错误仅影响安装了规则引擎扩展的SAP Commerce Instemations。由于扩展名是SAP Commerce的共同部分,安全修补程序解析了这些安装的大部分。

FritCh解释说,该漏洞来自流口水中的规则 - 一个开源,业务逻辑集成平台 - 包括提供脚本设施的Rulecontent属性。他补充说,控制统治者通常限于高特权用户,例如管理部门和其他部门的其他成员。

然而,Fritsch澄清说:

“由于SAP Commerce附带的默认用户权限的错误配置,几个低级特权用户和用户组获得了更改Doolsrule RuleContent的权限,从而取得对这些脚本设施的意外访问。”

即使已发出的修补程序仅在初始化SAP Commerce的新安装时解决了默认授权访问,但软件巨头也向现有安装提出了额外的手动修复步骤。

将它描述为好消息,Fritsch说:

“对于现有安装,这些手动修复步骤可用作无法及时安装最新修补程序版本的SAP Commerce安装的完整解决方法。”

分享这个帖子

提交给Reddit.

发表评论

滚动到顶部