北京师范大学网络与信息安全服务平台
   
当前位置: 首页 » 漏洞公告
关于SAP云商务平台HANA系统存在多个高危漏洞的安全公告
发布时间: 2017-04-19  

 

近期,国家信息安全漏洞共享平台()收录了云商务平台系统存在多个漏洞中的两个关键漏洞:自助服务身份认证漏洞与会话固定()漏洞()。利用这些漏洞,外部或内部攻击者未经任何身份认证就能够冒用其他用户甚至是高权限用户身份,远程控制平台,使得平台上承载的企业和组织信息和业务安全可能面临严重威胁。
    一、漏洞情况分析是总部位于德国沃尔多夫市的全球最大的企业管理和协同化电子商务解决方案供应商。是一个软硬件结合体的内存数据库,大量应用于实时业务数据的查询和分析。根据国外安全公司的报告,其发现云商务平台中存在个漏洞,其中有两个关键漏洞:(一)自助服务工具身份认证漏洞。该工具允许用户激活一些额外的功能,如修改密码、密码重置、用户自注册等功能,但却存在身份认证漏洞,攻击者不需要经过任何验证,可利用漏洞通过的用户自助服务元件入侵整个系统。(二)自助服务存在会话固定漏洞()。外部或内部攻击者未经任何身份认证就能够使用其他用户甚至是高权限用户会话权限,在不需要用户名和密码的情况下修改、窃取或删除敏感资料。
对上述漏洞的技术评级为高危二、漏洞影响范围漏洞影响及以往旧版本,包括等。根据秘书处普查结果,互联网上共有约万台标记为云商务平台的主机,其中排名前五的国家和地区分别是美国(占比)、韩国()、德国()、中国大陆地区()以及印度()。   三、漏洞修复建议提醒用户及时的更新系统到官方最新版本。运行老旧的系统或不当的配置都会影响业务系统的安全性,增加数据丢失的风险。也可以通过以下临时解决方案:禁用用户自助服务或添加网络边界设备访问控制措施。详细漏洞信息可参考自助服务漏洞专用网站:https://www.onapsis.com/threat-report-understanding-sap-hana-user-self-service-vulnerability
  附:参考链接:https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02799
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02802
 

 
北京师范大学网络与信息安全服务平台