SAP終於修補拖了3年之久的軟體漏洞

william77

SAP釋出10月安全更新共修補48個軟體漏洞，其中包括早在2012年便發現的SAP P4驗證檢查漏洞，雖然SAP在2013年即修補，但長期追踨SAP產品安全性的ERPScan指出根據測試，仍有多數的新系統版本存在相同的漏洞，曝露資安風險長達3年之久。

企業應用軟體大廠SAP本週公布10月份軟體安全更新，其中一項修補SAP P4驗證檢查漏洞，被指為已經存在3年，終於完成修補。
此次更新一共修補了48個軟體漏洞，根據長期追蹤ERP業者產品安全性的業者ERPScan分析，這是自2012年以來單月最高漏洞修補紀錄，其中多數修補可轉換授權檢查(switchable authorization check)漏洞，而最受矚目的則是SAP NetWeaver AS JAVA P4上存在達3年的誤失認證檢查(missing authentication check)漏洞，該漏洞影響到SAP的網路服務，讓駭客能從遠端控制SAP的JAVA平台，例如SAP Portal 系統。
該漏洞其實早在2012年即被發現，SAP亦在2013年釋出修補程式，但ERPScan表示，該公司測試發現，多數新系統版本仍然存在相同問題，如今SAP終於修復，顯示存在問題的系統在過去3年間都曝露於風險中。
儘管存在漏洞的網路服務應該僅存在於企業內網，不至於被一般網際網路上的用戶找到，但ERPScan還是在網路上發現了多達256個含有漏洞的服務能夠過網際網路存取，其中有57個來自印度、35個來自美國，18個來自中國，是在網路上被發現該漏洞最多的三個國家。
這並非SAP首度被發現修補軟體漏洞的進度落後。在今年7月的更新中，也修補了一個被發現達3年的軟體漏洞。
不過並沒有證據顯示，這些很晚才被修補的漏洞的確已經造成用戶遭到攻擊或發生損失。SAP表示，一直都有和包括ERPScan在內的研究單位合作，確保任何向外公布漏洞的做法都是負責任的，SAP也都有透過服務市集提供安全更新供用戶下載，該公司並呼籲用戶在SAP推出任何安全更新後，便立即下載安裝。

panups

  

myntpcb

现在的软件，一堆又一堆的补丁。