网络安全公司Trustwave周三披露了其研究人员在SAP Adaptive Server Enterprise(ASE)中发现的几个漏洞的详细信息。
SAP ASE是一个关系数据库管理系统,许多主要组织(尤其是金融部门)都在使用它。SAP曾一度表示,全球绝大多数前25家银行都在使用该产品。
在Trustwave研究人员分析SAP ASE,共6个漏洞,其中大部分都被分配了发现重要的或高的严重等级。该公司表示,这些安全漏洞可以使没有特权的攻击者获得对数据库甚至底层操作系统的完全控制。
严重的问题可能使特权有限的攻击者能够以更高的权限(Windows系统上的LocalSystem权限)执行任意代码。漏洞跟踪为CVE-2020-6248和CVE-2020-6252,与Backup Server和Cockpit组件有关。
Trustwave在博客文章中透露,还存在与XP Server组件有关的高严重性漏洞,该漏洞也可以利用LocalSystem特权用于任意代码执行。
另外两个高严重性漏洞允许通过SQL注入攻击来提升特权。最后一个问题,严重性为“ 中等”,仅影响Linux / UNIX系统,并且与安装日志中是否存在明文密码有关。当与其他漏洞结合使用时,此漏洞可能很危险,因为它可能导致SAP ASE受到完全破坏。
Trustwave将其发现报告给SAP,后者于4月下旬发布了ASE 15.7和16.0的补丁程序。SAP在提到的漏洞咨询就发布了其2020年5安全更新。
Trustwave说:“组织通常将其最关键的数据存储在数据库中,而数据库又常常必须暴露在不受信任或公共暴露的环境中。” “这使得此类漏洞必须迅速解决并进行测试,因为它们不仅威胁数据库中的数据,而且还可能威胁正在运行的完整主机。”
SAP最新一轮安全更新解决了18个影响ABAP应用服务器,业务客户端,业务对象,企业威胁检测,主数据治理,NetWeaver和身份管理的漏洞。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有