新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
SAP R/3存在默認用戶和密碼漏洞
受影響系統:
SAP SAP R/3 4.6D
SAP SAP R/3 2.0B
描述:
SAP R/3是一個基于客戶/服務機結構和開放系統的,集成的企業資源計劃系統。
SAP R/3多個客戶端存在默認帳戶,遠程攻擊者可以利用這些帳戶訪問管理系統。
典型的SAP R/3安裝至少由4個客戶端組成,其中三個SAP R/3客戶端包含在每個SAP實例中:
000 SAP R/3 (用于版本更改,升級和特殊的可定制任務)
001 Auslieferungmandant R11 (是客戶端000的一份拷貝)
066 EarlyWatch (用于通過SAP AG進行技術監督)
每一個客戶端擁有自己用戶帳戶管理系統,因此登錄的信息包含三個不同的組件:用戶名,密碼和客戶端ID,下面是上面三個客戶端中所包含的默認帳戶和密碼(其中括號里的是密碼):
SAP* (06071992)
SAPCPIC (ADMIN)
DDIC (19920706)
在客戶端066中還包含另外一個默認用戶EARLYWATCH,其密碼為SUPPORT。
根據安裝不同,可能還包含TMSADM帳戶,一般使用在傳輸管理系統中。
SAP*和DDIC是在線用戶,擁有超級管理員權限,可以讀取和修改客戶端所有數據,也可以訪問和修改其他客戶端中的數據。通過使用交叉客戶端表修改可以導致修改數據結構而產生拒絕服務。
EARLYWATCH也是在線用戶,不過這個帳戶沒有系統管理員權限。
SAPCPIC用戶不是在線用戶,因此不能用于在線默認登錄系統。不過它可以用于執行來自其他R/3系統RFC兼容命令,如遠程函數調用。
要連接SAP R/3系統需要使用特殊的圖形用戶接口(SAP-GUI),一個Linux版本的系統可在如下地址獲得:
通過使用如下命令調用登錄屏幕:
guistart /H//S/
這里的IP是SAP R/3應用服務程序地址,而PORT是SAP監聽的端口。
建議:
臨時解決方法:
如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:
* 馬上修改SAP R/3存在的默認密碼。
目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:
【我要糾錯】 責任編輯:zoe
上一篇:電算化后如何進行試算平衡
下一篇:ERP的另類解釋
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號