SAP 解决一个 CVE-2021-21477 远程代码执行漏洞

SAP在2021年2月的安全补丁日发布了七个新的安全说明，并更新了六个先前发布的说明。

新的安全说明包括一个热点新闻说明，该新闻说明解决了一个严重漏洞，在SAP Commerce中名为CVE-2021-21477。

如果安装了规则引擎扩展，则CVE-2021-21477是一种远程代码执行，会影响Commerce产品。严重缺陷的CVSS评分为9.9。

“ SAP Commerce Cloud版本– 1808,1811,1905,2005,2011使某些具有所需特权的用户可以编辑Drools规则，具有此特权的经过身份验证的攻击者将能够在Drools规则中注入恶意代码，这些代码在执行时会导致远程执行代码漏洞使攻击者能够破坏基础主机，从而损害应用程序的机密性，完整性和可用性。” 读取咨询的漏洞。

安全公司Onapsis的专家指出，规则引擎扩展是SAP Commerce安装的常见部分，该补丁解决了大多数此类安装问题。

规则引擎基于Drools引擎，用于定义和执行一组规则，这些规则甚至可以管理极其复杂的决策场景。

Drools规则包含提供脚本工具的ruleContent属性。通常，规则内容的更改应仅限于特权较高的用户，例如admin和admingroup的其他成员。” 读取Onapsis发布的分析。“由于Commerce附带的默认用户权限配置不当，一些特权较低的用户和用户组获得了更改DroolsRule ruleContents的权限，从而意外地访问了这些脚本工具。这使未经授权的用户可以将恶意代码注入这些脚本，从而对应用程序的机密性，完整性和可用性产生严重的负面影响。”

为了解决此问题，软件巨头已更改了新SAP Commerce安装的默认权限，该公司还提供了现有安装的手动修复步骤。

供应商发布的以下其他两个热门新闻说明是对先前发布的说明的更新：

• 在2018年4月补丁日发布的安全说明
  
• 对2021年1月补丁日发布的安全说明的更新：
  CVE-2021-21465 SAP Business Warehouse（数据库接口）中的多个漏洞。其他CVE – CVE-2021-21468
  

SAP发布了两个严重性高的安全说明，一个针对NetWeaver AS ABAP和S4 HANA（SAP景观转换）中缺少授权检查，另一个针对SAP NetWeaver AS ABAP和ABAP平台中的拒绝服务（DOS）。

其余安全说明解决了NetWeaver主数据管理7.1，NetWeaver流程集成，Business Objects商业智能平台，SAPUI5，Web Dynpro ABAP应用程序，UI5 HTTP处理程序和HANA数据库中的中等严重漏洞。