SAP修补HANA零时攻击漏洞

SAP

SAP周二宣布释出5项安全公告修补10个出现在资料管理平台HANA、HANA2上的软体瑕疵，包括2个高风险漏洞。?

这批漏洞是由安全公司Onapsis Research Labs发现，并在今年1月通报SAP，后者随即展开修补作业。?

SAP指出，这些漏洞发生在SAP HANA及HANA 2上的用户自助服务（HANA User Self Service）元件之中，让骇客执行资料隐码（SQL injection）攻击，不需经过任何验证即可入侵全系统，或升级成管理员系统存取权限，藉此窃取、删除或删除敏感的资料，像是公司财务、客户、人事资料、商业机密或个人识别资讯、信用卡号码。这些攻击完全不需借用SAP HANA管理员之手即可得逞。?

受影响的产品包括2014年后释出的HANA SPS 9、10、11、12及HANA 2 SPS0，或是开启上述功能的系统。SAP周二释出5项安全更新，其中2项为「非常高」及「高度」安全风险，并呼吁用户儘速安装HANA 122.7更新版或HANA 2 1.0更新。未能立即安装者也应关闭用户自助服务功能。?

所幸这项功能在HANA及HANA 2中为预设关闭，此外，安全公司也未发现成功的攻击行动。