SAP存在致命漏洞 黑客可以得到任何文件

　　 

SAP網絡繪圖服務器的一個致命的安全漏洞揭示了SAP系統對遠程黑客來說，使其可以獲得SAP用戶的特權和接近與一些敏感的SAP文件。

總部位于英國的Corsaire有限公司的安全顧問及主管Martin O'Neal在給一位用戶安裝新版SAP并進行常規評估時發現了這個問題。

O’Neal認為這個漏洞的存在是致命的，并且認為在每一個SAP程序運行安裝時都有可能存在，盡管這個漏洞是在Unix操作系統上發現的，但同樣也可能在其他操作系統上存在。

在和本站編輯的會面中，O’Neal說:“一旦遭到黑客攻擊，在SAP文件系統中你可以得到其中的任何文件，這表明了開發時存在一些問題――即在設計和構建網絡服務器時對基本問題理解的失誤“。

SAP向其用戶發布了一條建議，敦促他們盡快把其服務器版本升級至6.40,、補丁11或更高的版本。

O’Neal說，那里有兩個辦法，如果一個公司需要一個基于網絡的接入，它應該對服務器進行升級，可以剔除這個漏洞。企業也可以關閉HTTP(WWW服務程序所用的協議)的端口，將也會剔除這個漏洞。

SAP網絡繪圖服務器與SAP R/3軟件一起共同給具有繪圖設備的客戶提供繪圖服務。SAP網絡繪圖服務器與SAP商業數據庫查詢一起結合第三方產品使用網絡繪圖服務器制作交互式圖表和報告。

O’Neal說:“對于已在三月份所發現的這個安全漏洞，SAP對于這個話題仍舊三緘其口，拒絕同Corsaire對話或者同對安全公司懷有惡意的的公司共享信息“。

O’Neal說:“我不知道他們的研究結果或者是否已經解決了這個問題，當要求看他們發送給客戶的咨詢報告的影印件時，他們說我們不能看?！?/P>

SAP 的發言人Bill Wohl說SAP正在進行測試程序，并且想等到在和Corsaire.公司接觸之前要完成關于這項測試的最終測試。

Bill Wohl說:“我們正要完成這項測試程序的最后一步測試，即測試這個補丁并確保它能解決這個漏洞的問題。直到完成這個測試并且我們認為可以解決關于這個安全性的服務，即:發現這個漏洞的安全服務?！?/P>

Bill Wohl還說被發現的這個問題允許最初使用這個操作系統的結構的數據，即SAP網絡繪圖服務器所基于的操作系統。目前的R/3數據還沒有被泄漏，并且他說很少有SAP用戶使用網絡繪圖服務器。

Bill Wohl說，關于SAP的安全報告對于用戶來說仍舊是保密的，這為了進一步保護SAP系統免遭攻擊。關于這個問題的詳情在SAP 862169注釋中有所敘述。

原文轉自：http://www.kjueaiud.com