企业应用软体大厂SAP本週公布10月份软体安全更新,其中一项修补SAP P4验证检查漏洞,被指为已经存在3年,终于完成修补。
此次更新一共修补了48个软体漏洞,根据长期追蹤ERP业者产品安全性的业者ERPScan分析,这是自2012年以来单月最高漏洞修补纪录,其中多数修补可转换授权检查(switchable authorization check)漏洞,而最受瞩目的则是SAP NetWeaver AS JAVA P4上存在达3年的误失认证检查(missing authentication check)漏洞,该漏洞影响到SAP的网路服务,让骇客能从远端控制SAP的JAVA平台,例如SAP Portal 系统。
该漏洞其实早在2012年即被发现,SAP亦在2013年释出修补程式,但ERPScan表示,该公司测试发现,多数新系统版本仍然存在相同问题,如今SAP终于修复,显示存在问题的系统在过去3年间都曝露于风险中。
儘管存在漏洞的网路服务应该仅存在于企业内网,不至于被一般网际网路上的用户找到,但ERPScan还是在网路上发现了多达256个含有漏洞的服务能够过网际网路存取,其中有57个来自印度、35个来自美国,18个来自中国,是在网路上被发现该漏洞最多的三个国家。
这并非SAP首度被发现修补软体漏洞的进度落后。在今年7月的更新中,也修补了一个被发现达3年的软体漏洞。
不过并没有证据显示,这些很晚才被修补的漏洞的确已经造成用户遭到攻击或发生损失。SAP表示,一直都有和包括ERPScan在内的研究单位合作,确保任何向外公布漏洞的做法都是负责任的,SAP也都有透过服务市集提供安全更新供用户下载,该公司并呼吁用户在SAP推出任何安全更新后,便立即下载安装。
I 相关 / Other
示意图,与新闻事件无关。 图片来源: Microsoft 微软于本周二(10/11)的例行性更新中发布10个安全公告,修补了45个漏洞,其中有5个是已被开採的零时差漏洞;同时本月也是微软首度採行全新的Windows更新政策,针对
人民网北京10月12日电(朱一梵)美国苹果公司于10月5日正式上线的竞价广告功能出现漏洞,中国无人机公司大疆已中招。苹果本月正式上线竞价广告功能10月5日,苹果公司正式在AppStore将开通ASM竞价广告功能。这项名为A
江苏卫视新《芝麻开门》开播才几期,今晚就有对双胞胎爆料发现“漏洞”,她们要利用这个“漏洞”抢光所有宝贝。刘嘉芮和刘嘉格是对漂亮的双胞胎姐妹花,俩人的组合名叫“双子神偷”。两姐妹相似度100%,但是性格迥异
近一个月以来,世界体坛被一头熊搅得天翻地覆。从9月13日起,一个名为奇幻熊的网络黑客组织通过在里约奥运会期间侵入世界反兴奋剂组织的数据库,开始向外界公布通过申请药物豁免权以服用兴奋剂并照常参赛的运动员名单
近一个月以来,世界体坛被一头“熊”搅得天翻地覆。从9月13日起,一个名为“奇幻熊”的网络黑客组织通过在里约奥运会期间侵入世界反兴奋剂组织的数据库,开始向外界公布通过申请药物豁免权以服用兴奋剂并照常参赛的运