本周，SAP发布了2019年8月的安全声明。有四条热点新闻和两条评论文章发表。以下是年初至今的安全说明分布图，以及突出显示热点新闻和关键漏洞的图。要全面分析本月的SAP修补程序日，请访问Onapsis Research Labs博客文章。

经过很长一段时间，SAP在一个月内发布了4条热点新闻，如果您的工作与保护SAP或企业应用程序有关，请关注此博客，了解风险并制定缓解措施。

1热点新闻SAP安全说明｜2800779

受影响的系统和版本

SAP NetWeaver UDDI服务器（服务注册）；版本–7.10、7.11、7.20、7.30、7.31、7.40、7.50

CVSS v3.0基本分数：9.9/10

是，你读对了CVSS评分为9.9这是SAP在2019年首次发布具有该评分的热点新闻。

详细信息

UDDI代表通用描述发现和集成

J2EE引擎提供了一个工具，可以完全实现基于UDDI的通用描述发现和集成（Universal Description Discovery and Integration，UDDI）功能v2.0规范。该工具是一个基于Web的客户机，您可以使用它根据标准UDDI规范发布、浏览和检索Web服务。您可以在公共、私有或测试注册表中发布Web服务和Web服务定义。

根据SAP产品安全团队和Onapsis研究实验室的信息，SAP NetWeaver UDDI服务器（服务注册表）中存在远程代码执行漏洞。因此，攻击者可以利用服务注册表进行攻击，使其能够完全控制产品。

该漏洞的影响非常显著，威胁参与者可以执行CRUD活动创建、读取、更新，并通过将代码注入工作内存（随后由应用程序执行）来删除SAP应用程序上的（CRUD）。

SAP修复的大多数漏洞都是由第三方安全研究人员报告的。感谢社区的贡献。

有关SAP安全说明的更多信息｜2800779可在此处找到。

在SAP帮助门户网站上了解有关UDDI的更多信息。

｜2热点新闻SAP安全说明｜2622660

受影响的系统和版本–

SAP Business Client，版本–6.5

CVSS v3.0基本分数：9.8/10

详细信息

SAP Business Client是一个用户界面客户端，为不同的SAP业务应用程序和技术提供单一入口点。SAP Business Client支持单点登录，因此无需在多个位置登录即可访问不同的应用程序。

这是SAP Business Client历史上第一次从版本6.5开始，SAP提供了一个基于Chromium Embedded Framework（CEF）的Chromium web浏览器控件，以替代Microsoft Internet Explorer。现在可以使用浏览器控件在SAP业务客户端中显示HTML内容。根据SAP产品安全团队和Onapsis研究实验室的数据，如果SAP Business Client在过时的Chromium应用程序上运行，则SAP应用程序可能会受到攻击。

此漏洞的CVSS分数较高，因为如果SAP Business Client版本未相应更新，则可能导致：

计划外停机泄露敏感信息的漏洞内存损坏最坏情况下的系统信息泄露或系统崩溃直接影响系统机密性、完整性和可用性的漏洞正在为将来的攻击收集信息，可能会造成更严重的后果

还需要注意的是，企业应用中心，此OSS notes在过去一年中已被SAP不断更新5次。

有关SAP Security notes#2622660的更多信息可在此处找到。

在SAP帮助中了解有关SAP Business Client的更多信息门户网站

｜3热点新闻SAP安全说明｜2786035

受影响的系统和版本

SAP Commerce Cloud（virtualjdbc扩展），版本–6.4、6.5、6.6、6.7、1808、1811，1905

CVSS v3.0基本分数：9/10

详细信息

SAP Commerce Cloud（以前的SAP Hybris Commerce）具有针对特定B2C和B2B行业设计的模块和加速器，从杂货到教育，再到保险和服装，便于安装和使用。

根据SAP漏洞，Virtualjdbc扩展和Mediaconversion扩展中存在漏洞。只有安装了Virtualjdbc或/和Mediaconversion扩展的未修补版本*时，才会发生这种情况。要验证是否安装了特定扩展，请检查localextensions.xml文件配置目录中的文件。

您可以在本安全说明的"症状"部分找到易受攻击的版本。

*如果是mediaconversion，红淘客，则必须安装扩展名，并且用户必须具有使用它的权限。要验证某个用户或用户组是否具有使用mediaconversion扩展的权限，请转到特定员工帐户或特定用户组的"权限管理"部分，大数据怎么看，并验证是否启用了以下上下文："媒体"、"媒体容器"，"媒体格式"（或者更具体地说是"转换媒体格式"）。

使用代码注入漏洞的威胁参与者可以执行：

未经授权的命令执行敏感信息披露拒绝服务

有关SAP安全说明的更多信息#2786035可在此处找到。

在SAP帮助门户网站上了解有关SAP Business Client的更多信息。

4热点新闻SAP安全说明#2813811

受影响的系统和版本

SAP NetWeaver Application Server for Java（管理员系统概述），版本–7.30、7.31、7.40，7.50

CVSS v3.0基本分数：9/10

详细信息

SAP NetWeaver Application Server for Java中的服务器端请求伪造