亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2017-0018

近期，國家信息安全漏洞共享平臺（CNVD）收錄了SAP云商務(wù)平臺HANA系統(tǒng)存在多個漏洞中的兩個關(guān)鍵漏洞：HANA自助服務(wù)身份認(rèn)證漏洞與會話固定（Session Fixation）漏洞（CNVD-2017-02799、CNVD-2017-02802）。利用這些漏洞，外部或內(nèi)部攻擊者未經(jīng)任何身份認(rèn)證就能夠冒用其他用戶甚至是高權(quán)限用戶身份，遠(yuǎn)程控制SAP HANA平臺，使得平臺上承載的企業(yè)和組織信息和業(yè)務(wù)安全可能面臨嚴(yán)重威脅。

?一、漏洞情況分析

SAP是總部位于德國沃爾多夫市的全球最大的企業(yè)管理和協(xié)同化電子商務(wù)解決方案供應(yīng)商。HANA(High-Performance Analytic Appliance)是一個軟硬件結(jié)合體的內(nèi)存數(shù)據(jù)庫，大量應(yīng)用于實(shí)時業(yè)務(wù)數(shù)據(jù)的查詢和分析。根據(jù)國外安全公司 Onapsis Research Labs 的報(bào)告，其發(fā)現(xiàn)SAP云商務(wù)平臺 HANA 中存在27個漏洞，其中有兩個關(guān)鍵漏洞：

（一）SAP HANA自助服務(wù)工具身份認(rèn)證漏洞。該工具允許用戶激活一些額外的功能，如修改密碼、密碼重置、用戶自注冊等功能，但卻存在身份認(rèn)證漏洞，攻擊者不需要經(jīng)過任何驗(yàn)證，可利用漏洞通過HANA的用戶自助服務(wù)元件入侵整個系統(tǒng)。

（二）SAPHANA自助服務(wù)存在會話固定漏洞（Session Fixation）。外部或內(nèi)部攻擊者未經(jīng)任何身份認(rèn)證就能夠使用其他用戶甚至是高權(quán)限用戶會話權(quán)限，在不需要用戶名和密碼的情況下修改、竊取或刪除敏感資料。??

CNVD對上述漏洞的技術(shù)評級為“高危”。

?二、漏洞影響范圍

漏洞影響SAP HANA2及以往舊版本，包括SAP HANA SPS09等。根據(jù)CNVD秘書處普查結(jié)果，互聯(lián)網(wǎng)上共有約2.4萬臺標(biāo)記為SAP HANA云商務(wù)平臺的主機(jī)IP，其中排名前五的國家和地區(qū)分別是美國（占比35.7%）、韓國（10.8%）、德國（10.1%）、中國大陸地區(qū)（6.9%）以及印度（3.0%）。

三、漏洞修復(fù)建議

CNVD提醒用戶及時的更新系統(tǒng)到官方最新版本。運(yùn)行老舊的系統(tǒng)或不當(dāng)?shù)呐渲枚紩绊慡AP HANA業(yè)務(wù)系統(tǒng)的安全性，增加數(shù)據(jù)丟失的風(fēng)險(xiǎn)。也可以通過以下臨時解決方案：禁用用戶自助服務(wù),或添加網(wǎng)絡(luò)邊界設(shè)備訪問控制措施。

詳細(xì)漏洞信息可參考SAP HANA自助服務(wù)漏洞專用網(wǎng)站：

https://www.onapsis.com/threat-report-understanding-sap-hana-user-self-service-vulnerability

附：參考鏈接：

https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02799

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02802