SAP NetWeaver漏洞导致用户表泄露

ZDnet 发表于:14年06月03日 13:45 [转载] DOIT.com.cn

  • 分享:
[导读]俄罗斯安全研究人员在一份报告中披露了SAP NetWeaver存在的一项漏洞,该漏洞可能导致攻击者获取中央用户管理表的访问权。

俄罗斯安全研究人员在一份报告中披露了SAP NetWeaver存在的一项漏洞,该漏洞可能导致攻击者获取中央用户管理表的访问权。

作为一套面向服务的集成平台方案,SAP NetWeaver此次遭遇的漏洞细节(CVE-2014-3787)由安全企业PT Security公司严格保密,这家安全厂商会定期对SAP套件进行检测。

中央用户管理功能旨在简化对由不同客户端托管的多个用户账户的管理流程。SAP公司是目前人气最高的商务应用程序供应商之一,财富五百强企业中有四分之三使用该公司的产品。

Dmitry Gutsko指出,此次曝光的敏感信息泄露漏洞会影响到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞,攻击者将能够通过附属系统读取来自SAP中央用户管理体系中的任何表信息,这可能会导致存储在全部CUA系统中的用户数据遭到泄露,”Gutso在一篇博文中解释道。

建议用户利用最新发布的NetWeaver安全补丁来修复这一漏洞。

SAP用户一直对该公司部署方案的更新与安全保护机制抱怨不休。去年ERP Scan公司创始人Alexander Polyakov曾经发现,当时成百上千家企业在运行着存在漏洞的陈旧SAP产品版本,而且内部信息完全暴露在公共互联网之下。

Polyakov发现不少客户所运行的NetWeaver j2EE版本当中都包含关键性漏洞,可能允许攻击者在无需认证的前提下执行操作命令。

今年一月,这家安全公司还报告称SAP NetWeaver的GRMGApp中存在关键性XML External Entity(简称XXE)漏洞,这相当于为未经授权的访问敞开了便利之门。

[责任编辑:周建丁]
“客户驱动”和“数据驱动”这样的时髦词汇已经把我们的耳朵磨出了老茧,但在实践上,不少的企业仍然力不从心。现在,业界领袖为我们指明了方向:移动、连接和慢数据,将成为三大关键词。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.