SAP 解決一個 CVE-2021-21477 遠程代碼執行漏洞

SAP在2021年2月的安全補丁日發布了七個新的安全說明，并更新了六個先前發布的說明。

新的安全說明包括一個熱點新聞說明，該新聞說明解決了一個嚴重漏洞，在SAP Commerce中名為CVE-2021-21477。

如果安裝了規則引擎擴展，則CVE-2021-21477是一種遠程代碼執行，會影響Commerce產品。嚴重缺陷的CVSS評分為9.9。

“ SAP Commerce Cloud版本– 1808,1811,1905,2005,2011使某些具有所需特權的用戶可以編輯Drools規則，具有此特權的經過身份驗證的攻擊者將能夠在Drools規則中注入惡意代碼，這些代碼在執行時會導致遠程執行代碼漏洞使攻擊者能夠破壞基礎主機，從而損害應用程序的機密性，完整性和可用性。” 讀取咨詢的漏洞。

安全公司Onapsis的專家指出，規則引擎擴展是SAP Commerce安裝的常見部分，該補丁解決了大多數此類安裝問題。

規則引擎基于Drools引擎，用于定義和執行一組規則，這些規則甚至可以管理極其復雜的決策場景。

Drools規則包含提供腳本工具的ruleContent屬性。通常，規則內容的更改應僅限于特權較高的用戶，例如admin和admingroup的其他成員。” 讀取Onapsis發布的分析。“由于Commerce附帶的默認用戶權限配置不當，一些特權較低的用戶和用戶組獲得了更改DroolsRule ruleContents的權限，從而意外地訪問了這些腳本工具。這使未經授權的用戶可以將惡意代碼注入這些腳本，從而對應用程序的機密性，完整性和可用性產生嚴重的負面影響。”

為了解決此問題，軟件巨頭已更改了新SAP Commerce安裝的默認權限，該公司還提供了現有安裝的手動修復步驟。

供應商發布的以下其他兩個熱門新聞說明是對先前發布的說明的更新：

• 在2018年4月補丁日發布的安全說明
  
• 對2021年1月補丁日發布的安全說明的更新：
  CVE-2021-21465 SAP Business Warehouse（數據庫接口）中的多個漏洞。其他CVE – CVE-2021-21468
  

SAP發布了兩個嚴重性高的安全說明，一個針對NetWeaver AS ABAP和S4 HANA（SAP景觀轉換）中缺少授權檢查，另一個針對SAP NetWeaver AS ABAP和ABAP平臺中的拒絕服務（DOS）。

其余安全說明解決了NetWeaver主數據管理7.1，NetWeaver流程集成，Business Objects商業智能平臺，SAPUI5，Web Dynpro ABAP應用程序，UI5 HTTP處理程序和HANA數據庫中的中等嚴重漏洞。