SAP 11月安全更新:关键漏洞需立即行动
SAP最近发布了11月安全更新,旨在解决其企业软件套件中的一系列漏洞。这些更新解决了关键问题,强调组织需要及时审查并应用必要的补丁以保护其SAP环境。
关键漏洞修复
本次更新共解决了20个新漏洞,其中4个被归类为高危漏洞,需要立即关注。最紧迫的是CVE-2025-42890,这是SQL Anywhere Monitor(非GUI)中的一个关键缺陷。
CVE-2025-42890:SQL Anywhere Monitor中的硬编码凭证
CVE-2025-42890具有最高严重性CVSS评分10.0,源于SQL Anywhere Monitor(非GUI)中的硬编码凭证。此漏洞可能将资源和功能暴露给未经授权的用户,为潜在的任意代码执行铺平道路。该漏洞的描述指出,它涉及不安全的密钥和秘密管理,可能允许攻击者破坏加密凭证。
SQL Anywhere Monitor是用于数据库监控和警报的重要工具,特别适用于管理分布式或远程数据库的组织。非GUI组件通常部署在无人值守的设备上,这可能导致监管延迟,使其成为恶意行为者的有利目标。
其他高危漏洞
除了CVE-2025-42890,SAP安全更新还解决了其他几个值得注意的漏洞:
- CVE-2025-42944:SAP NetWeaver AS Java中的关键不安全反序列化漏洞,无需身份验证即可实现远程代码执行。
- CVE-2025-42887:SAP Solution Manager中的关键代码注入漏洞,允许经过身份验证的攻击者执行任意代码。
- CVE-2025-42940:SAP CommonCryptoLib中的高危内存损坏漏洞,可能导致拒绝服务或信息泄露。
其他漏洞
除了关键漏洞外,更新还包括对14个中低严重性漏洞的修复,例如SAP Business Connector中的OS命令注入(CVE-2025-42892)和SAP Starter Solution中的SQL注入(CVE-2025-42889)。其他已解决的问题包括JNDI注入漏洞、开放重定向、跨站脚本和缺失身份验证控制。
缓解建议
考虑到这些漏洞的潜在风险,SAP强烈建议系统管理员采取以下步骤:
- 应用安全更新:及时应用SAP发布的最新安全更新。
- 安全配置:确保实施安全配置实践,以保护数据完整性和整体操作安全。
SAP产品由于其广泛部署和处理敏感数据,仍然是威胁行为者的主要目标。通过保持主动并应用这些安全更新,组织可以显著降低风险暴露。
使用Saner补丁管理即时修复风险
Saner补丁管理是一个连续、自动化且集成的软件,可即时修复在野外被利用的风险。该软件支持Windows、Linux和macOS等主要操作系统,以及550多个第三方应用程序。
它还允许您设置安全测试区域,以便在主生产环境中部署补丁之前进行测试。Saner补丁管理还支持在补丁失败或系统故障时回滚补丁的功能。