网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
SAP网络绘图服务器的一个致命的安全漏洞揭示了SAP系统对远程黑客来说,使其可以获得SAP用户的特权和接近与一些敏感的SAP文件。
总部位于英国的Corsaire有限公司的安全顾问及主管Martin O'Neal在给一位用户安装新版SAP并进行常规评估时发现了这个问题。
O’Neal认为这个漏洞的存在是致命的,并且认为在每一个SAP程序运行安装时都有可能存在,尽管这个漏洞是在Unix操作系统上发现的,但同样也可能在其他操作系统上存在。
在和本站编辑的会面中,O’Neal说:“一旦遭到黑客攻击,在SAP文件系统中你可以得到其中的任何文件,这表明了开发时存在一些问题――即在设计和构建网络服务器时对基本问题理解的失误“。
SAP向其用户发布了一条建议,敦促他们尽快把其服务器版本升级至6.40,、补丁11或更高的版本。
O’Neal说,那里有两个办法,如果一个公司需要一个基于网络的接入,它应该对服务器进行升级,可以剔除这个漏洞。企业也可以关闭HTTP(WWW服务程序所用的协议)的端口,将也会剔除这个漏洞。
SAP网络绘图服务器与SAP R/3软件一起共同给具有绘图设备的客户提供绘图服务。SAP网络绘图服务器与SAP商业数据库查询一起结合第三方产品使用网络绘图服务器制作交互式图表和报告。
O’Neal说:“对于已在三月份所发现的这个安全漏洞,SAP对于这个话题仍旧三缄其口,拒绝同Corsaire对话或者同对安全公司怀有恶意的的公司共享信息“。
O’Neal说:“我不知道他们的研究结果或者是否已经解决了这个问题,当要求看他们发送给客户的咨询报告的影印件时,他们说我们不能看。”
SAP 的发言人Bill Wohl说SAP正在进行测试程序,并且想等到在和Corsaire.公司接触之前要完成关于这项测试的最终测试。
Bill Wohl说:“我们正要完成这项测试程序的最后一步测试,即测试这个补丁并确保它能解决这个漏洞的问题。直到完成这个测试并且我们认为可以解决关于这个安全性的服务,即:发现这个漏洞的安全服务。”
Bill Wohl还说被发现的这个问题允许最初使用这个操作系统的结构的数据,即SAP网络绘图服务器所基于的操作系统。目前的R/3数据还没有被泄漏,并且他说很少有SAP用户使用网络绘图服务器。
Bill Wohl说,关于SAP的安全报告对于用户来说仍旧是保密的,这为了进一步保护SAP系统免遭攻击。关于这个问题的详情在SAP 862169注释中有所叙述。
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:SAP存在致命漏洞 黑客可以得到任何文件