SAP终于修补拖了3年之久的软件漏洞

企业应用软件大厂SAP本周公布10月份软件安全更新，其中一项修补SAP P4验证检查漏洞，被指为已经存在3年，终于完成修补。

此次更新一共修补了48个软件漏洞，根据长期追蹤ERP业者产品安全性的业者ERPScan分析，这是自2012年以来单月最高漏洞修补纪录，其中多数修补可转换授权检查(switchable authorization check)漏洞，而最受瞩目的则是SAP NetWeaver AS JAVA P4上存在达3年的误失认证检查(missing authentication check)漏洞，该漏洞影响到SAP的网路服务，让骇客能从远端控制SAP的JAVA平台，例如SAP Portal 系统。

该漏洞其实早在2012年即被发现，SAP亦在2013年释出修补程式，但ERPScan表示，该公司测试发现，多数新系统版本仍然存在相同问题，如今SAP终于修复，显示存在问题的系统在过去3年间都曝露于风险中。

尽管存在漏洞的网路服务应该仅存在于企业内网，不至于被一般网际网路上的用户找到，但ERPScan还是在网路上发现了多达256个含有漏洞的服务能够过网际网路存取，其中有57个来自印度、35个来自美国，18个来自中国，是在网路上被发现该漏洞最多的三个国家。

这并非SAP首度被发现修补软件漏洞的进度落后。在今年7月的更新中，也修补了一个被发现达3年的软件漏洞。

不过并没有证据显示，这些很晚才被修补的漏洞的确已经造成用户遭到攻击或发生损失。SAP表示，一直都有和包括ERPScan在内的研究单位合作，确保任何向外公布漏洞的做法都是负责任的，SAP也都有透过服务市集提供安全更新供用户下载，该公司并呼吁用户在SAP推出任何安全更新后，便立即下载安装。