关键SAP Sybase ASE的漏洞允许整个系统的收购
2020-06-04
一组在SAP的Sybase Adaptive Server的企业,它被广泛应用于银行和金融机构,漏洞可以被攻击者用来接管未打补丁的系统,安全研究人员已经发现。 安全厂商Trustwave报道关键和高严重性几个

一组在SAP的Sybase Adaptive Server的企业,它被广泛应用于银行和金融机构,漏洞可以被攻击者用来接管未打补丁的系统,安全研究人员已经发现。

安全厂商Trustwave报道关键和高严重性几个Sybase ASE的漏洞SAP,包括一个额定9.1的10上的常见漏洞评分系统。

,该漏洞,CVE-2020-6248,允许任何人以数据库管理器privilegesto运行DUMP命令覆盖关键的配置文件,因为有,以防止这种情况的发生没有安全检查。

这是可能的攻击者使用这种技术运行他们选择的任何代码,Trustwave找到。

[123另一缺陷是在发现在Windows的Sybase ASE 16版本的默认配置。

这留给所有Windows用户的帮手SQL Anywhere数据库读取密码。

由于具有高本地系统权限的SQL Anywhere数据库运行在Windows上,它可以被用来覆盖操作系统文件,并可能执行任意代码,Trustwave发现

以上 - 和另外四个Sybase ASE的漏洞 - 安全通过Trustwave到SAP,已经发布的补丁对他们的报道用户敦促测试并尽快申请作为可行的。

SAP在其最新的补丁日即有较高的CVSS分数比通过Trustwave发现的缺陷修补其他三个关键vulnerabilties。

这些包括代码注入漏洞影响的应用程序服务器ADVANCED业务应用编程(ABAP)语言是NetWeaver平台的一部分,与9.9 CVSS。

一个在SAP的业务对象商务智能平台(CVSS 9.8)也固定失踪认证检查。

总之,SAP发布6个补丁评为“热点新闻”的优先级,与CVSS超过9出10最大的。

另一种四个高优先级的补丁和12对培养基那些也包括在最新的集从SAP安全更新。

关注菲娱2官网(www.ynmzfcw.com)。