24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.60 蘋果版本:8.7.60

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

SAP R/3存在默認用戶和密碼漏洞

來源: 比特網(wǎng) 編輯: 2010/06/18 09:13:29  字體:

選課中心

實務(wù)會員買一送一

選課中心

資料專區(qū)

需要的都在這里

資料專區(qū)

課程試聽

搶先體驗

課程試聽

高薪就業(yè)

從零基礎(chǔ)到經(jīng)理

高薪就業(yè)

  受影響系統(tǒng):

  SAP SAP R/3 4.6D

  SAP SAP R/3 2.0B

  描述:

  SAP R/3是一個基于客戶/服務(wù)機結(jié)構(gòu)和開放系統(tǒng)的,集成的企業(yè)資源計劃系統(tǒng)。

  SAP R/3多個客戶端存在默認帳戶,遠程攻擊者可以利用這些帳戶訪問管理系統(tǒng)。

  典型的SAP R/3安裝至少由4個客戶端組成,其中三個SAP R/3客戶端包含在每個SAP實例中:

  000 SAP R/3 (用于版本更改,升級和特殊的可定制任務(wù))

  001 Auslieferungmandant R11 (是客戶端000的一份拷貝)

  066 EarlyWatch (用于通過SAP AG進行技術(shù)監(jiān)督)

  每一個客戶端擁有自己用戶帳戶管理系統(tǒng),因此登錄的信息包含三個不同的組件:用戶名,密碼和客戶端ID,下面是上面三個客戶端中所包含的默認帳戶和密碼(其中括號里的是密碼):

  SAP* (06071992)

  SAPCPIC (ADMIN)

  DDIC (19920706)

  在客戶端066中還包含另外一個默認用戶EARLYWATCH,其密碼為SUPPORT。

  根據(jù)安裝不同,可能還包含TMSADM帳戶,一般使用在傳輸管理系統(tǒng)中。

  SAP*和DDIC是在線用戶,擁有超級管理員權(quán)限,可以讀取和修改客戶端所有數(shù)據(jù),也可以訪問和修改其他客戶端中的數(shù)據(jù)。通過使用交叉客戶端表修改可以導(dǎo)致修改數(shù)據(jù)結(jié)構(gòu)而產(chǎn)生拒絕服務(wù)。

  EARLYWATCH也是在線用戶,不過這個帳戶沒有系統(tǒng)管理員權(quán)限。

  SAPCPIC用戶不是在線用戶,因此不能用于在線默認登錄系統(tǒng)。不過它可以用于執(zhí)行來自其他R/3系統(tǒng)RFC兼容命令,如遠程函數(shù)調(diào)用。

  要連接SAP R/3系統(tǒng)需要使用特殊的圖形用戶接口(SAP-GUI),一個Linux版本的系統(tǒng)可在如下地址獲得:

  

  通過使用如下命令調(diào)用登錄屏幕:

  guistart /H//S/

  這里的IP是SAP R/3應(yīng)用服務(wù)程序地址,而PORT是SAP監(jiān)聽的端口。

  建議:

  臨時解決方法:

  如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:

  * 馬上修改SAP R/3存在的默認密碼。

  目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本:

  

我要糾錯】 責任編輯:zoe
學(xué)員討論(0

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.odtgfuq.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號