SAPNetWeaver漏洞导致用户表泄露

俄罗斯安全研究人员在一份报告中披露了SAP NetWeaver存在的一项漏洞，该漏洞可能导致攻击者获取中央用户管理表的访问权。

网站建设哪家好，找创新互联公司！专注于网页设计、网站建设、微信开发、小程序制作、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了濮阳免费建站欢迎大家使用！

作为一套面向服务的集成平台方案，SAP NetWeaver此次遭遇的漏洞细节(CVE-2014-3787)由安全企业PT Security公司严格保密，这家安全厂商会定期对SAP套件进行检测。

中央用户管理功能旨在简化对由不同客户端托管的多个用户账户的管理流程。SAP公司是目前人气最高的商务应用程序供应商之一，财富五百强企业中有四分之三使用该公司的产品。

Dmitry Gutsko指出，此次曝光的敏感信息泄露漏洞会影响到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞，攻击者将能够通过附属系统读取来自SAP中央用户管理体系中的任何表信息，这可能会导致存储在全部CUA系统中的用户数据遭到泄露，”Gutso在一篇博文中解释道。

建议用户利用最新发布的NetWeaver安全补丁来修复这一漏洞。

SAP用户一直对该公司部署方案的更新与安全保护机制抱怨不休。去年ERP Scan公司创始人Alexander Polyakov曾经发现，当时成百上千家企业在运行着存在漏洞的陈旧SAP产品版本，而且内部信息完全暴露在公共互联网之下。

Polyakov发现不少客户所运行的NetWeaver j2EE版本当中都包含关键性漏洞，可能允许攻击者在无需认证的前提下执行操作命令。

今年一月，这家安全公司还报告称SAP NetWeaver的GRMGApp中存在关键性XML External Entity(简称XXE)漏洞，这相当于为未经授权的访问敞开了便利之门。

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容