跳转至内容
联系我们
关注微信
微信在线洽谈或留下信息,我们将尽快联系您
在线洽谈 聊天当前离线
若当前离线,您可选择上方微信或下方邮件方式与我们联系
联系我们
如有任何意见、问题或反馈,欢迎您给我们发送电子邮件

SAP Trust Center

查找你需要的有关云性能、安全性、隐私和合规性的信息。

报告安全问题

SAP 致力于发现和解决影响 SAP 软件及云解决方案的安全问题。我们一直在不断地完善我们的安全流程。如需报告潜在的安全问题,请采用以下方式。

SAP 客户

利用 SAP ONE Support Launchpad 报告客户安全问题,查找解决方法并获取专家的实时支持。

安全研究人员

填写和提交安全漏洞表,向 SAP 安全响应团队报告安全问题。

注意:请尽可能地在报告中提供以下详细信息,方便我们更准确地分析安全问题的性质和范围,包括问题类别、受影响的产品版本和支持包以及补丁级别、漏洞检测代码 (exploit) 运行的必要先决条件/后决条件、有关概念验证或漏洞检测代码的说明,以及漏洞被利用后产生的影响。

SAP Gateway 和 SAP Message Server 的安全配置

SAP 了解到,最近有客户报告 SAP Gateway 和 SAP Message Server 中有一些安全漏洞;但是,SAP 早在几年前就已经对这些漏洞进行了修补。2009 年和 2013 年发布的安全说明 82187514080811421005 将保护客户免受攻击。所以,与往常一样,我们强烈建议客户立即应用这些安全说明,确保 SAP 架构的配置安全。


SAP 非常重视客户数据的安全性。在白皮书《确保远程函数调用 (RFC) 的安全性》(Securing Remote Function Calls (RFC)) 中,我们给出了一些建议,着重强调了 SAP 架构的安全配置。客户可以启用 SAP EarlyWatch Alert (Note 863362) 和 SAP Security Optimization 服务产品组合中介绍的相关安全检查。


SAP 致力于提供安全、可靠的软件解决方案。作为业务软件领域的全球先驱者,SAP 的开发流程建立在全面的安全战略(“预防 - 检测 - 应对”)基础上,这个战略覆盖整个企业,依托专门的培训、工具和流程来确保 SAP 产品和服务的安全性。

处理器引发的漏洞

2018 年初,以 Spectre 和 Meltdown 为代表的新型安全漏洞被公之于众。在接下来的几个月,这些漏洞的新变体又陆续被发现和公布。从业界对新漏洞和攻击的持续研究和披露来看,这一话题在未来将继续保持热度。纵观这些漏洞,它们都有一个共同之处,那就是通常是由 CPU 的架构(硬件)设计问题造成,并且几乎波及最近 20 年制造的每一个电脑芯片。

利用这些漏洞,攻击者可以获取我们本以为受到保护的数据。这些潜在的攻击被称为边信道攻击,即根据特定操作的执行速度(时间),攻击者可以将一般无法访问的内存内容删除。从安全角度来看,这些漏洞引发的问题包括打破虚拟化环境中的界限。

SAP 彻查了这些漏洞的影响,并与对应的供应商、提供商和开源社区达成了紧密联盟。我们对我们的平台、数据库、应用和云运营都进行了调查,看其是否受到影响,以及通过何种途径受到了哪些影响。

我们一直在主动采取措施,尽快修复由硬件边信道攻击造成的潜在缺陷。你可以在这里找到更多有关我们的云环境补丁应用进度的信息(需要注册)。但作为受影响软硬件的使用者,我们在很大程度上仍然依赖对应供应商、提供商或开源社区提供补丁。什么时候能够应用相关漏洞的补丁,很大程度上取决于补丁的可用性。

SAP 建议所有客户密切关注补丁发布情况,在硬件和操作系统提供商发布安全补丁时,按照建议尽快安装补丁。我们会将修复程序应用于我们的云基础架构。SAP Global Security 团队将持续监控相关情况。

每个变式都有自己的 CVE 编号(2018 年 11 月 6 日更新):

攻击者可以利用上述任何一种漏洞变体读取 CPU 或内核内存中的机密数据。每种变体的危害程度和可能被利用的概率都各不相同。 


如需了解有关安全漏洞、资源和响应机制的更多信息,请访问:

请注意,SAP 对这些外部网站上的所有内容不承担任何责任。

返回顶部