24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋果版本:8.7.30

開發(fā)者:北京正保會計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

SAP R/3存在默認(rèn)用戶和密碼漏洞

來源: 比特網(wǎng) 編輯: 2010/06/18 09:13:29  字體:

  受影響系統(tǒng):

  SAP SAP R/3 4.6D

  SAP SAP R/3 2.0B

  描述:

  SAP R/3是一個(gè)基于客戶/服務(wù)機(jī)結(jié)構(gòu)和開放系統(tǒng)的,集成的企業(yè)資源計(jì)劃系統(tǒng)。

  SAP R/3多個(gè)客戶端存在默認(rèn)帳戶,遠(yuǎn)程攻擊者可以利用這些帳戶訪問管理系統(tǒng)。

  典型的SAP R/3安裝至少由4個(gè)客戶端組成,其中三個(gè)SAP R/3客戶端包含在每個(gè)SAP實(shí)例中:

  000 SAP R/3 (用于版本更改,升級和特殊的可定制任務(wù))

  001 Auslieferungmandant R11 (是客戶端000的一份拷貝)

  066 EarlyWatch (用于通過SAP AG進(jìn)行技術(shù)監(jiān)督)

  每一個(gè)客戶端擁有自己用戶帳戶管理系統(tǒng),因此登錄的信息包含三個(gè)不同的組件:用戶名,密碼和客戶端ID,下面是上面三個(gè)客戶端中所包含的默認(rèn)帳戶和密碼(其中括號里的是密碼):

  SAP* (06071992)

  SAPCPIC (ADMIN)

  DDIC (19920706)

  在客戶端066中還包含另外一個(gè)默認(rèn)用戶EARLYWATCH,其密碼為SUPPORT。

  根據(jù)安裝不同,可能還包含TMSADM帳戶,一般使用在傳輸管理系統(tǒng)中。

  SAP*和DDIC是在線用戶,擁有超級管理員權(quán)限,可以讀取和修改客戶端所有數(shù)據(jù),也可以訪問和修改其他客戶端中的數(shù)據(jù)。通過使用交叉客戶端表修改可以導(dǎo)致修改數(shù)據(jù)結(jié)構(gòu)而產(chǎn)生拒絕服務(wù)。

  EARLYWATCH也是在線用戶,不過這個(gè)帳戶沒有系統(tǒng)管理員權(quán)限。

  SAPCPIC用戶不是在線用戶,因此不能用于在線默認(rèn)登錄系統(tǒng)。不過它可以用于執(zhí)行來自其他R/3系統(tǒng)RFC兼容命令,如遠(yuǎn)程函數(shù)調(diào)用。

  要連接SAP R/3系統(tǒng)需要使用特殊的圖形用戶接口(SAP-GUI),一個(gè)Linux版本的系統(tǒng)可在如下地址獲得:

  

  通過使用如下命令調(diào)用登錄屏幕:

  guistart /H//S/

  這里的IP是SAP R/3應(yīng)用服務(wù)程序地址,而PORT是SAP監(jiān)聽的端口。

  建議:

  臨時(shí)解決方法:

  如果您不能立刻安裝補(bǔ)丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:

  * 馬上修改SAP R/3存在的默認(rèn)密碼。

  目前廠商還沒有提供補(bǔ)丁或者升級程序,我們建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁以獲取最新版本:

  

我要糾錯(cuò)】 責(zé)任編輯:zoe

實(shí)務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號