本周，SAP发布了2019年6月的安全声明。有一个热点新闻和一个关键的笔记发表。下面是YTD安全说明分布图，以及突出显示热点新闻和关键漏洞的图。有关本月SAP补丁日的完整分析，请访问Onapsis Research Labs博客文章。

#1受影响的系统和版本–热点新闻

SAP Business Client；版本–6.5 PL5及以上；CVSS评分9.8

SAP Business Client是一个用户界面客户端，云市场，为不同的SAP业务应用程序和技术提供单一入口点。SAP Business Client支持单点登录，因此无需在多个位置登录即可访问不同的应用程序。

在SAP Business Client历史上首次剖析SAP Security Note#2622660

，从版本6.5开始，SAP提供了一个基于Chromium Embedded Framework（CEF）的Chromium web浏览器控件，以替代Microsoft Internet Explorer。现在可以使用浏览器控件在SAP业务客户端中显示HTML内容。根据SAP产品安全团队和Onapsis研究实验室的数据，如果SAP Business Client在过时的Chromium应用程序上运行，则SAP应用程序可能会受到攻击。

此漏洞的CVSS分数较高，因为如果SAP Business Client版本未相应更新，则可能导致：

计划外停机泄露敏感信息的漏洞内存损坏最坏情况下的系统信息泄露或系统崩溃直接影响系统机密性、完整性和可用性的漏洞正在为将来的攻击收集信息，可能会造成更严重的后果

有关SAP安全说明的更多信息#2622660可在此处找到。

在SAP帮助门户上了解有关SAP Business Client的更多信息。

#2受影响的系统和版本–关键说明

Solution Manager，数据分析方法，版本–7.2；CVSS得分7.1，CVE-2019-0291

SAP Solution Manager，免费云服务器试用，购物返利，又名SolMan，是一款SAP应用程序，发发淘客，为分布式环境中的SAP应用程序的IT基础设施提供关键支持。

实施配置操作监测支持

剖析SAP安全说明#2748699

CA Introscope有助于监视和管理Java应用程序。它由一个名为Introscope Enterprise Manager（EM）的组件组成，并且在托管系统上安装了一个Introscope Java代理。对于Solution Manager功能监视和警报基础架构（MAI），CA Introscope Enterprise Manager（EM）提供服务Introscope Push，以便将监视度量从EM主动推送到Solution Manager。Introscope Push正在调用需要身份验证的Solution Manager的Web服务。

问题围绕着用户凭据的存储方式，根据SAP的说法，如果这些凭据在某些情况下遭到破坏，Solution Manager 7.2允许攻击者访问否则将受到限制的信息。一些众所周知的影响是：

信息丢失和系统配置保密进一步利用和攻击的信息收集

注意：当您部署OSS（在线服务系统，帮助用户从SAP获得快速有效的帮助）注意事项时，不要忽略推荐的手册说明。

有关安全说明的更多信息#2748699可在此处找到。

了解有关SAP Solution Manager的更多信息。

SAP修复的大多数漏洞都是由第三方安全研究人员报告的。感谢社区的贡献。

在补丁发布后不久，我们看到了许多攻击事件。周二，SAP补丁提供的信息开始在黑暗的网络上引起轰动。对修补程序的详细分析有助于威胁参与者立即利用未修补系统中以前未公开的漏洞。

组织应留出时间部署安全修补程序，记住，威胁参与者不会等着你。尽管在大型企业中，将安全补丁部署到生产和变更管理生命周期的复杂性是可以理解的，但同样重要的是，外部威胁参与者不要利用这个漏洞。作为一项建议，组织应该有一个针对SAP漏洞的持续监控流程，同时您的SAP基础和安全管理员正在修补系统。