Sap 发布本月安全补丁，解决十年漏洞问题

外媒 3 月 14 日消息，Sap 本周发布了其 3 月份的一组安全补丁，以解决产品中不同层级的漏洞问题，其中包括一些已经存在了十多年的安全缺陷。

SAP 发布的 27 个安全说明中，有 6 个具有高优先级，19 个被评为中等优先级，并且其中有 4 个是以前发布过的安全说明的更新。

本月处理的最常见的漏洞类型是缺少授权检查（占 6 个），其次是信息披露（5 个），跨站点脚本（4 个）。除此之外，SAP 还解决了 3 个 SQL 注入错误、2 个目录遍历问题、2 个实施漏洞以及拒绝服务、硬编码证书、XML 外部实体、代码注入和点击劫持错误等缺陷。

SAP 本月最厉害的安全说明解决了 SAP 网络图形服务器（IGS）中具有高优先级评级的三个漏洞（CVSS 基础评分：8.8），其中包括：CVE-2004-1308（内存损坏）、CVE-2005-2974（拒绝服务）和 CVE-2005-3350（远程代码执行）。这些漏洞已经存在十多年，影响 libtiff、giflib 、libpng 等处理图像（分别为 TIFF、GIF 和 PNG ）的第三方开源库。

不仅如此，SAP 还处理了两个高风险的信息披露漏洞，分别是影响 SAP HANA 捕获和重放跟踪文件（CVE-2018-2402 – CVSS 基本评分：7.6）、SAP 业务流程自动化( BPA ) (CVE – 20182400 – CVSS 基础评分：7.5 )的漏洞问题。

消息来源：securityweek，编译：榆榆，校审：FOX;

本文由 HackerNews.cc 编译整理，封面来源于网络；

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。