睿网公告

睿网idc资讯:SAP安全漏洞会导致整台服务器宕机!

2017-10-06   重庆睿网

SAP的多款产品爆出八个安全漏洞,不仅会导致信息泄露,还有可能导致整台服务器宕机。

Positive Technologies公司的安全研究人员本周三表示,他们在SAP的多款解决方案中发现了漏洞,包括用于创建SAP Web应用软件的Web Dynpro Island开发工具、SAP组合式应用框架授权工具和SAP企业门户,它们都有可能给全球各地使用这些流行工具的公司企业造成危害。

最严重的漏洞之一(因缺乏XML验证而引起)存在于Web Dynpro Flash Island中,让黑客无需验证身份,就能够执行XML外部实体(XXE)攻击,还能够获取SAP服务器上的本地文件,比如专有加密密钥及其他关键业务数据。

不法分子还可以利用这些安全漏洞执行拒绝服务(DoS)攻击,导致服务器宕机。

另一个安全漏洞出现在SAP企业门户中。缺乏XML验证让攻击者得以获取SAP服务器上的本地文件。

这可能会导致信息被窃取,包括专有加密密钥、操作系统密码的哈希以及敏感的企业数据。

研究人员特别指出:“本地网络外面的攻击者无法获得网络访问权,无法进而访问操作系统和数据库,但是可能企图利用这些登录信息,闯入其他开放服务上的帐户,或者执行DDoS攻击。”

XSS安全漏洞还出现在SAP企业门户样式服务(styleservice)中,第二个XSS漏洞还出现在SAP NetWeaver Monitoring应用软件中。

此外,安全团队在SAP NetWeaver业务流程管理(BPM)解决方案中发现了一个信息泄露安全漏洞,许多公司使用该解决方案,共同组合使用标准化标记的可执行流程。

缺乏XML验证的同一种漏洞出现在SAP组合式应用框架授权工具中,接下来的两个漏洞出现在了SAP NetWeaver Web服务配置UI中。这些问题不仅让不法分子得以读取托管在服务器上的文件、窃取管理员登录信息,还会实行权限升级。

这些漏洞在今年早些时候就发现了,在SAP最近发布的安全补丁中已得到了修补。供应商应该确保自己的产品是最新版本,以免其系统中招。

重庆睿昂科技有限公司成立于2007年,依托重庆联通,重庆电信,重庆移动等基础运营商,为企业提供全方位的跨平台的网络服务解决方案,以用户为本的公司企业文化凝聚了一支和谐进取的工作团队。 业务范围: 服务器托管、服务器租用、服务器销售、云主机、网站制作、vps、虚拟主机、IT运维服务

服务内容

重庆电信机房,重庆服务器托管 , 服务器租用
重庆主机租用,重庆空间域名,联通服务器托管
重庆双线机房,重庆主机托管,重庆服务器租用
重庆bgp双线,电信服务器托管,重庆IDC

      睿网,全心为企业上网服务!

关于睿网(全国免费热线:400-023-8581)

重庆睿网(睿昂科技,睿武网络,网丛网络),专为企事业单位提供IT数据中心(IDC)接入方案、信息系统软硬件一体化解决方案、机房建设方案、网络及网络安全组网方案。是西南地区最早提供服务器及应用系统集成解决方案的IT高科技公司 …     

重庆睿网IDC接入中心

  • 地址1:重庆江北区· 海尔路2号 电信大楼5楼
  • 地址2:重庆高新区· 石桥铺一城精英国际37楼
  • 地址3:重庆江北区· 福泉路18号龙湖原著天街
  • ISP/IDC:渝B1.B2-20140022
  • 渝ICP备15004424号-1