企業應用軟體大廠SAP本週公布10月份軟體安全更新,其中一項修補SAP P4驗證檢查漏洞,被指為已經存在3年,終於完成修補。

此次更新一共修補了48個軟體漏洞,根據長期追蹤ERP業者產品安全性的業者ERPScan分析,這是自2012年以來單月最高漏洞修補紀錄,其中多數修補可轉換授權檢查(switchable authorization check)漏洞,而最受矚目的則是SAP NetWeaver AS JAVA P4上存在達3年的誤失認證檢查(missing authentication check)漏洞,該漏洞影響到SAP的網路服務,讓駭客能從遠端控制SAP的JAVA平台,例如SAP Portal 系統。

該漏洞其實早在2012年即被發現,SAP亦在2013年釋出修補程式,但ERPScan表示,該公司測試發現,多數新系統版本仍然存在相同問題,如今SAP終於修復,顯示存在問題的系統在過去3年間都曝露於風險中。

儘管存在漏洞的網路服務應該僅存在於企業內網,不至於被一般網際網路上的用戶找到,但ERPScan還是在網路上發現了多達256個含有漏洞的服務能夠過網際網路存取,其中有57個來自印度、35個來自美國,18個來自中國,是在網路上被發現該漏洞最多的三個國家。

這並非SAP首度被發現修補軟體漏洞的進度落後。在今年7月的更新中,也修補了一個被發現達3年的軟體漏洞。

不過並沒有證據顯示,這些很晚才被修補的漏洞的確已經造成用戶遭到攻擊或發生損失。SAP表示,一直都有和包括ERPScan在內的研究單位合作,確保任何向外公布漏洞的做法都是負責任的,SAP也都有透過服務市集提供安全更新供用戶下載,該公司並呼籲用戶在SAP推出任何安全更新後,便立即下載安裝。


Advertisement

更多 iThome相關內容