SAP发布了其4月份安全更新

SAP已经发布了其4月份的安全更新，该更新带来了10个值得考虑的问题。

最差的是，CVSS评分为9.8，影响SAP的商业客户端，这是用于访问其大部分产品的桌面工具。

问题的详细信息位于注册墙后面，但根据ERP扫描，该漏洞是一种内存损坏错误，允许攻击者将精心制作的代码注入工作内存。结果可以是对应用程序，拒绝服务或远程代码执行的“完全控制”。

该公司还修补了SAP Business One以修复Apache漏洞CVE-2017-7668。在此漏洞中，Apache httpd 2.2.32和2.4.24的缓冲区溢出可用于拒绝服务攻击。

在4月份修复中还有三个其他高级漏洞：两个针对Visual Composer 04s iviews（VCFRAMEWORK版本7.00,7.01和7.02和VC70RUNTIME 7.30,7.31,7.40,7.50），其中一个是代码注入漏洞; 和SAP Business Objects中的CVE-2018-2408，这是一个会话管理错误，没有正确实施密码更改。

正如Mitre咨询所述：“如果用户更改了密码，则使用[旧]密码创建的所有其他活动会话都会继续保持活动状态。”

4月份的补丁集还包括7个只被评为中等的补丁，包括可追溯到2009年的Blaze DB漏洞。