关于SAP云商务平台HANA系统存在多个高危漏洞的安全公告

2017-03-17 13:13:53

安全公告编号:CNTA-2017-0018

近期,国家信息安全漏洞共享平台(CNVD)收录了SAP云商务平台HANA系统存在多个漏洞中的两个关键漏洞:HANA自助服务身份认证漏洞与会话固定(Session Fixation)漏洞(CNVD-2017-02799、CNVD-2017-02802)。利用这些漏洞,外部或内部攻击者未经任何身份认证就能够冒用其他用户甚至是高权限用户身份,远程控制SAP HANA平台,使得平台上承载的企业和组织信息和业务安全可能面临严重威胁。

 一、漏洞情况分析

SAP是总部位于德国沃尔多夫市的全球最大的企业管理和协同化电子商务解决方案供应商。HANA(High-Performance Analytic Appliance)是一个软硬件结合体的内存数据库,大量应用于实时业务数据的查询和分析。根据国外安全公司 Onapsis Research Labs 的报告,其发现SAP云商务平台 HANA 中存在27个漏洞,其中有两个关键漏洞:

(一)SAP HANA自助服务工具身份认证漏洞。该工具允许用户激活一些额外的功能,如修改密码、密码重置、用户自注册等功能,但却存在身份认证漏洞,攻击者不需要经过任何验证,可利用漏洞通过HANA的用户自助服务元件入侵整个系统。

(二)SAPHANA自助服务存在会话固定漏洞(Session Fixation)。外部或内部攻击者未经任何身份认证就能够使用其他用户甚至是高权限用户会话权限,在不需要用户名和密码的情况下修改、窃取或删除敏感资料。  

CNVD对上述漏洞的技术