SAP NetWeaver漏洞导致用户表泄露

来源: ZDNet
2014/6/3 15:51:21
作为一套面向服务的集成平台方案,SAP NetWeaver此次遭遇的漏洞细节(CVE-2014-3787)由安全企业PT Security公司严格保密,这家安全厂商会定期对SAP套件进行检测。

分享到: 新浪微博 腾讯微博
本文关键字: SAP NetWeaver
俄罗斯安全研究人员在一份报告中披露了 SAPNetWeaver存在的一项漏洞,该漏洞可能导致攻击者获取中央用户管理表的访问权。
作为一套面向服务的集成平台方案,SAP NetWeaver此次遭遇的漏洞细节(CVE-2014-3787)由安全企业PT Security公司严格保密,这家安全厂商会定期对SAP套件进行检测。
中央用户管理功能旨在简化对由不同客户端托管的多个用户账户的管理流程。SAP公司是目前人气最高的商务应用程序供应商之一,财富五百强企业中有四分之三使用该公司的产品。
Dmitry Gutsko指出,此次曝光的敏感信息泄露漏洞会影响到NetWeaver 7.20以及更早版本。
“一旦成功利用此漏洞,攻击者将能够通过附属系统读取来自SAP中央用户管理体系中的任何表信息,这可能会导致存储在全部CUA系统中的用户数据遭到泄露,”Gutso在一篇博文中解释道。
建议用户利用最新发布的NetWeaver安全补丁来修复这一漏洞。
SAP用户一直对该公司部署方案的更新与安全保护机制抱怨不休。去年 ERPScan公司创始人Alexander Polyakov曾经发现,当时成百上千家企业在运行着存在漏洞的陈旧SAP产品版本,而且内部信息完全暴露在公共 互联网之下。
Polyakov发现不少客户所运行的NetWeaver j2EE版本当中都包含关键性漏洞,可能允许攻击者在无需认证的前提下执行操作命令。
今年一月,这家安全公司还报告称SAP NetWeaver的GRMGApp中存在关键性XML External Entity(简称XXE)漏洞,这相当于为未经授权的访问敞开了便利之门。
责编:李玉琴
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map