科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全SAP NetWeaver漏洞导致用户表泄露

SAP NetWeaver漏洞导致用户表泄露

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

补丁已经发布,但俄罗斯安全人员拒不公开相关细节。

来源:ZDNet安全频道 2014年6月3日

关键字: SAP NetWeaver 漏洞补丁 PT

  • 评论
  • 分享微博
  • 分享邮件

俄罗斯安全研究人员在一份报告中披露了SAP NetWeaver存在的一项漏洞,该漏洞可能导致攻击者获取中央用户管理表的访问权。

作为一套面向服务的集成平台方案,SAP NetWeaver此次遭遇的漏洞细节(CVE-2014-3787)由安全企业PT Security公司严格保密,这家安全厂商会定期对SAP套件进行检测。

中央用户管理功能旨在简化对由不同客户端托管的多个用户账户的管理流程。SAP公司是目前人气最高的商务应用程序供应商之一,财富五百强企业中有四分之三使用该公司的产品。

Dmitry Gutsko指出,此次曝光的敏感信息泄露漏洞会影响到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞,攻击者将能够通过附属系统读取来自SAP中央用户管理体系中的任何表信息,这可能会导致存储在全部CUA系统中的用户数据遭到泄露,”Gutso在一篇博文中解释道。

建议用户利用最新发布的NetWeaver安全补丁来修复这一漏洞。

SAP用户一直对该公司部署方案的更新与安全保护机制抱怨不休。去年ERP Scan公司创始人Alexander Polyakov曾经发现,当时成百上千家企业在运行着存在漏洞的陈旧SAP产品版本,而且内部信息完全暴露在公共互联网之下。

Polyakov发现不少客户所运行的NetWeaver j2EE版本当中都包含关键性漏洞,可能允许攻击者在无需认证的前提下执行操作命令。

今年一月,这家安全公司还报告称SAP NetWeaver的GRMGApp中存在关键性XML External Entity(简称XXE)漏洞,这相当于为未经授权的访问敞开了便利之门。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章