SAP网络绘图服务器的一个致命的安全漏洞揭示了SAP系统对远程黑客来说,使其可以获得SAP用户的特权和接近与一些敏感的SAP文件。
总部位于英国的Corsaire有限公司的安全顾问及主管Martin O'Neal在给一位用户安装新版SAP并进行常规评估时发现了这个问题。
O’Neal认为这个漏洞的存在是致命的,并且认为在每一个SAP程序运行安装时都有可能存在,尽管这个漏洞是在Unix操作系统上发现的,但同样也可能在其他操作系统上存在。
在和本站编辑的会面中,O’Neal说:“一旦遭到黑客攻击,在SAP文件系统中你可以得到其中的任何文件,这表明了开发时存在一些问题――即在设计和构建网络服务器时对基本问题理解的失误“。
SAP向其用户发布了一条建议,敦促他们尽快把其服务器版本升级至6.40,、补丁11或更高的版本。
O’Neal说,那里有两个办法,如果一个公司需要一个基于网络的接入,它应该对服务器进行升级,可以剔除这个漏洞。企业也可以关闭HTTP(WWW服务程序所用的协议)的端口,将也会剔除这个漏洞。
SAP网络绘图服务器与SAP R/3软件一起共同给具有绘图设备的客户提供绘图服务。SAP网络绘图服务器与SAP商业数据库查询一起结合第三方产品使用网络绘图服务器制作交互式图表和报告。
O’Neal说:“对于已在三月份所发现的这个安全漏洞,SAP对于这个话题仍旧三缄其口,拒绝同Corsaire对话或者同对安全公司怀有恶意的的公司共享信息“。
O’Neal说:“我不知道他们的研究结果或者是否已经解决了这个问题,当要求看他们发送给客户的咨询报告的影印件时,他们说我们不能看。”
SAP 的发言人Bill Wohl说SAP正在进行测试程序,并且想等到在和Corsaire.公司接触之前要完成关于这项测试的最终测试。
Bill Wohl说:“我们正要完成这项测试程序的最后一步测试,即测试这个补丁并确保它能解决这个漏洞的问题。直到完成这个测试并且我们认为可以解决关于这个安全性的服务,即:发现这个漏洞的安全服务。”
Bill Wohl还说被发现的这个问题允许最初使用这个操作系统的结构的数据,即SAP网络绘图服务器所基于的操作系统。目前的R/3数据还没有被泄漏,并且他说很少有SAP用户使用网络绘图服务器。
Bill Wohl说,关于SAP的安全报告对于用户来说仍旧是保密的,这为了进一步保护SAP系统免遭攻击。关于这个问题的详情在SAP 862169注释中有所叙述。
……