思爱普安全补丁解决思爱普XSA的关键缺陷

本周，思爱普发布了一套2019年2月发布的安全补丁，解决了其产品中的13个漏洞，包括思爱普HANA扩展应用服务(XSA)高级模型中的一个热门新闻漏洞

2年2月至2019年2月的SAP安全补丁日包括13个安全注意事项和对以前发布的安全注意事项的3个更新2个笔记被评为热门新闻，4个被评为高优先级，10个被评为中等优先级。

2年2月12日，019年，SAP安全补丁日发布了13项安全注意事项此外，对以前发布的安全防范措施进行了三次更新。思爱普发布的咨询意见写道

此补丁解决了以下思爱普产品的缺陷:商务客户端、XSA汉纳、ABAP平台(SLD注册)、信息披露管理、解决方案工具插件(ST-PI)、笔记助手、业务对象、制造集成和智能、商务一体移动安卓应用、网络智能双客户端(企业)

最严重的问题是热点新闻注释(CVSS分数9.8)，它更新了2018年4月发布的安全注释，包括随思爱普商业客户端一起交付的浏览器控件Chromium的安全更新

如前所述，标有HotNews(#2742027)的两个思爱普安全说明中的一个影响思爱普XSA(另一个是#2622660，它定期使用铬安全更新，在以前的博客文章中已有解释)这是一种典型的授权缺失检查，它不仅允许攻击者读取/修改/删除敏感信息，还允许攻击者获得高度特权功能。欧纳西斯发表的分析写道

"它会影响XS高级选择版本的思爱普HANA 1和思爱普HANA 2，可以通过升级XS高级组件进行修复

安全更新包括一条来自HANA XSA的热门新闻，它解决了一个身份验证检查丢失的问题，攻击者可以使用该问题来获得对高特权功能的访问，包括读取、修改或删除敏感信息的能力。

此安全漏洞会影响XS高级选择版本的高级应用协议1和高级应用协议2

为了解决这个缺陷，客户应该升级XS的高级组件思爱普还提供了一个包含禁用组件(如果未使用)的解决方案

2年2月至2019年的SAP安全补丁日还解决了SAP HANA XSA公司的另一个可能导致信息泄露的问题，该问题被评为中度严重(CVSS得分6.8)

思爱普解决了几个高优先级的安全问题，包括ABAP平台SLD注册中的一个XML外部实体(XXE)漏洞、公共管理中缺乏授权检查以及访问ABAP平台中的简易访问菜单

SAP还更新了2014年11月发布的安全通知，这是与数据库服务器文件系统相关的潜在信息泄漏

以下是Onapsis在2月份发布的已解决漏洞类型的摘要，包括在1月底安全说明补丁日期之后发布的另外6个漏洞。

萨帕纳2月

皮尔鲁吉帕格尼尼

(安全事务-萨帕纳，安全)