SAP安全漏洞會導致整台伺服器宕機！

SAP產品爆出的總共八個漏洞會給高危系統帶來嚴重影響。

SAP的多款產品爆出八個安全漏洞，不僅會導致信息泄露，還有可能導致整台伺服器宕機。

Positive Technologies公司的安全研究人員本周三表示，他們在SAP的多款解決方案中發現了漏洞，包括用於創建SAP Web應用軟體的Web Dynpro Island開發工具、SAP組合式應用框架授權工具和SAP企業門戶，它們都有可能給全球各地使用這些流行工具的公司企業造成危害。

最嚴重的漏洞之一（因缺乏XML驗證而引起）存在於Web Dynpro Flash Island中，讓黑客無需驗證身份，就能夠執行XML外部實體（XXE）攻擊，還能夠獲取SAP伺服器上的本地文件，比如專有加密密鑰及其他關鍵業務數據。

不法分子還可以利用這些安全漏洞執行拒絕服務（DoS）攻擊，導致伺服器宕機。

另一個安全漏洞出現在SAP企業門戶中。缺乏XML驗證讓攻擊者得以獲取SAP伺服器上的本地文件。

這可能會導致信息被竊取，包括專有加密密鑰、操作系統密碼的哈希以及敏感的企業數據。

研究人員特別指出：「本地網路外面的攻擊者無法獲得網路訪問權，無法進而訪問操作系統和資料庫，但是可能企圖利用這些登錄信息，闖入其他開放服務上的帳戶，或者執行DDoS攻擊。」

XSS安全漏洞還出現在SAP企業門戶樣式服務（styleservice）中，第二個XSS漏洞還出現在SAP NetWeaver Monitoring應用軟體中。

此外，安全團隊在SAP NetWeaver業務流程管理（BPM）解決方案中發現了一個信息泄露安全漏洞，許多公司使用該解決方案，共同組合使用標準化標記的可執行流程。

缺乏XML驗證的同一種漏洞出現在SAP組合式應用框架授權工具中，接下來的兩個漏洞出現在了SAP NetWeaver Web服務配置UI中。這些問題不僅讓不法分子得以讀取託管在伺服器上的文件、竊取管理員登錄信息，還會實行許可權升級。

這些漏洞在今年早些時候就發現了，在SAP最近發布的安全補丁中已得到了修補。供應商應該確保自己的產品是最新版本，以免其系統中招。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 雲頭條 的精彩文章: