SAP修補HANA零時攻擊漏洞

SAP周二宣佈釋出5項安全公告修補10個出現在資料管理平台HANA、HANA2上的軟體瑕疵，包括2個高風險漏洞。 

這批漏洞是由安全公司Onapsis Research Labs發現，並在今年1月通報SAP，後者隨即展開修補作業。 

SAP指出，這些漏洞發生在SAP HANA及HANA 2上的用戶自助服務（HANA User Self Service）元件之中，讓駭客執行資料隱碼（SQL injection）攻擊，不需經過任何驗證即可入侵全系統，或升級成管理員系統存取權限，藉此竊取、刪除或刪除敏感的資料，像是公司財務、客戶、人事資料、商業機密或個人識別資訊、信用卡號碼。這些攻擊完全不需借用SAP HANA管理員之手即可得逞。 

受影響的產品包括2014年後釋出的HANA SPS 9、10、11、12及HANA 2 SPS0，或是開啟上述功能的系統。SAP周二釋出5項安全更新，其中2項為「非常高」及「高度」安全風險，並呼籲用戶儘速安裝HANA 122.7更新版或HANA 2 1.0更新。未能立即安裝者也應關閉用戶自助服務功能。 

所幸這項功能在HANA及HANA 2中為預設關閉，此外，安全公司也未發現成功的攻擊行動。